Дослідники Zscaler виявили кібератаку з використанням небезпечного розширення для Microsoft Edge під назвою Edgecution. Хакери діють через Microsoft Teams: під виглядом ІТ-підтримки вони спрямовують працівників на фейковий сайт для завантаження оновлень. Натомість жертва отримує ZIP-архів із прихованими скриптами та розширенням, яке маскується під агент моніторингу та працює у невидимому фоновому режимі браузера.

Для обходу вбудованого захисту браузера Edgecution використовує легітимний протокол Chrome Native Messaging, який зазвичай зв’язує розширення з програмами на ПК. Через цей міст шкідник запускає у системі прихований Python-бекдор. Цей компонент дозволяє віддалено виконувати PowerShell-команди, викрадати файли та керувати процесами. Атаку пов’язують із вимагачами Payouts Kings.