تقنى

Edgecution: برمجية ضارة تستغل إضافة Microsoft Edge لإطلاق باب خلفي بلغة Python

محمد مصطفى25/06/2026آخر تحديث: 25/06/2026
2 دقائق
Edgecution: برمجية ضارة تستغل إضافة Microsoft Edge لإطلاق باب خلفي بلغة Python

كشف بحث أمني عن حملة برمجية جديدة تستغل إضافة من نوع Microsoft Edge بشكل ضار لكسر عزل المتصفح والسيطرة على أجهزة Windows المصابة. البرمجية المعروفة باسم Edgecution يعتقد أنها تُوزَّع عبر وسيط وصول ابتدائي مرتبط بنشاط فدية يُعرف بـ Payouts King.

Edgecution Malware Uses Microsoft Edge Extension to Deploy Python Backdoor

تدمج الحملة بين إضافة للمُتصفح وباب خلفي مُطور بلغة Python، ما يتيح للمهاجمين تنفيذ أوامر على الجهاز المستهدف مع الحفاظ على قدر من الاختباء أثناء التفاعل مع النظام.

آلية العمل وطرق التوزيع

microsoft edge malware
Image credit: Microsoft

تبدأ الهجمة غالباً من خلال خدعة اجتماعية وليست ثغرة برمجية. يَتظاهر المهاجمون بأنهم موظفو دعم تقني عبر Microsoft Teams، ثم يوجهون الضحايا إلى موقع يبدو كأنه مُزوَّر من خدمات Microsoft. تدّعي الصفحة أن المستخدم بحاجة لتثبيت فلتر رسائل غير مرغوب فيها أو تحديث Outlook عبر ما يوصف بأنه وحدة إدارة تحديثات Outlook من Microsoft، لكنها توزّع ملفات ضارة كبديل لهذا التحديث.

يُذكر أن أدوات التوزيع تشمل نصوص AutoHotKey، ونُسخ دفعيّة من Windows، وكذلك PowerShell لإطلاق عملية العدوى. البرمجية تُوزَّع داخل أرشيف ZIP يحتوي على بيئة Python 3.13.3 مدمجة مع مجلدين باسم extension و native يمثلان مكونات المتصفح والجهة المستضيفة للهجوم.

التفاعل بين المكوّنات وتجاوز sandbox

الامتداد الخبيث في Edge يُموّه كـ Edge Monitoring Agent، وعند تثبيته يتصل بالخادم الخبيث لمشرف التحكم والسيطرة ويستقبل أوامر وينفّذها ويرسل النتائج. يعمل الامتداد داخل جلسة Edge بلا رأس، وهو ما يجعله شبه غير ظاهر أثناء الاستخدام العادي. لتجاوز قيود sandbox يعتمِد المهاجمون على بروتوكول Chrome Native Messaging، وهو قناة شرعية تسمح للامتدادات بالتواصل مع تطبيقات سطح المكتب الموثوقة.

توفر هذه القناة اتصال مع باب خلفي مبني بلغة Python يعمل مباشرة على النظام، وتُنشئ السكريبتات الداعمة التعرّف اللازم لتمكين تشغيل الامتداد والتواصل مع التطبيق المحلي.

قدرات الباب الخلفي وتأثيره

المكوّن Python هو المحرّك الفعّال للنشاطات الخبيثة على الحاسوب؛ فهو قادر على تنفيذ أوامر shell وPowerShell، وتنفيذ كود بايثون، وكتابة الملفات، وعرض العمليات الجارية، وجمع معلومات النظام. وبسبب أن الأوامر تمر عبر الامتداد قبل وصولها إلى الباب الخلفي، يتمكن المهاجمون من استخدام قناة اتصال نسبياً مخفية مع الحفاظ على السيطرة العملية.

تشير التقارير إلى وجود بعض الأوامر غير المستخدمة ضمن المكونات، ما يوحي بأن الإصدارات اللاحقة من الممكن أن توسّع قدرات الإطار الموزع.

مؤشرات الاستشعار وطرق الوقاية

شجعت الفرق الأمنية على مراقبة امتدادات المتصفح بعناية، وتقييد تسجيلات Native Messaging حيثما أمكن، ومراقبة تثبيت إضافات غير مصرح بها. كما أشار التقرير إلى مؤشرات للاكتشاف تشمل عناوين خوادم C2، وهاشات الإضافات الخبيثة، وهاشات باب الخلفي بلغة Python لمساعدة فرق الدفاع على رصد العدوى.

الوسوم
محمد مصطفى25/06/2026آخر تحديث: 25/06/2026
2 دقائق
زر الذهاب إلى الأعلى