Microsoft cerró una operación de extensión maliciosa de larga duración en la tienda de complementos de Edge que ocultaba sus cargas útiles dentro de archivos de imágenes y fuentes comunes y luego se despertaba días después de la instalación para robar credenciales y ejecutar fraude publicitario.
La compañía lo llama StegoAd, una combinación de esteganografía y adware, y vincula 119 extensiones a un único actor de amenazas que, según dice, ha estado activo desde al menos 2021.
Las extensiones eran del tipo que la gente instala sin pensarlo dos veces: bloqueadores de publicidad, VPN, traductores, descargadores de vídeos. Cada uno hizo su trabajo y obtuvo críticas. El código malicioso permaneció inactivo hasta que la extensión superó una pila de controles de evasión, y así permaneció en la tienda durante años.
Combinadas, las 119 extensiones tenían una base instalada de hasta 2,6 millones de usuarios. Microsoft tiene claro que se trata de un límite máximo, no de un recuento de víctimas.
Un retraso de varios días, una validación del lado del servidor y una puerta de ejecución del 10% en algunas variantes significaron que la carga útil nunca se activó en muchas instalaciones. Se desconoce cuántas personas se vieron realmente comprometidas.
Código oculto en imágenes y fuentes.
El truco que da nombre a la campaña es la esteganografía: meter código ejecutable dentro de archivos que parecen completamente normales. Las primeras variantes agregaban JavaScript después del marcador IEND de un ícono PNG, por lo que la imagen se mostraba bien en todas partes mientras llevaba una carga útil que los escáneres estáticos nunca marcaban.
A medida que la detección se puso al día, el actor pasó a imágenes WebP, luego a archivos de fuentes WOFF2, ocultando código en rangos de glifos que se leen como texto asiático o metadatos de fuentes. Microsoft considera que la esteganografía a esta escala es poco común en el ecosistema de extensiones de navegador.
Algunas variantes de alto impacto ni siquiera enviaron la carga útil localmente. Obtuvieron una imagen de aspecto normal de un servidor de comando y control. La extensión lo decodificó a través de capas de intercambios de casos, intercambios de dígitos, Base64 y XOR, luego lo comparó con una firma antes de ejecutarlo.
El servidor C2 solo entregó el archivo real a solicitudes que pasaron una huella digital y una verificación de Usuario-Agente; cualquiera que lo investigara directamente, incluidos los investigadores, obtuvo una respuesta de señuelo vacío.
Las extensiones también vigilaban las DevTools abiertas y extendían su inactividad si veían a un analista mirando.
Fraude publicitario arriba, robo de credenciales debajo
El daño visible fue el fraude publicitario: anuncios inyectados, comisiones de afiliados secuestradas en Amazon, eBay y AliExpress, y búsquedas redirigidas, todo ello robando dinero y degradando la navegación.
El análisis de Microsoft de las cargas útiles recuperadas encontró mucho más debajo. Las cargas útiles incluían una puerta trasera de ejecución remota de código que ejecutaba JavaScript arbitrario enviado desde el servidor. También robaron credenciales de Google y códigos de segundo factor al iniciar sesión, recopilaron inicios de sesión de administradores de WordPress y extrajeron cookies en masa para secuestrar sesiones.
Microsoft dice que siete ID de seguimiento de Google Analytics parecen haber servido como telemetría encubierta, brindando al operador paneles de control casi en tiempo real sobre la campaña a través de la propia infraestructura de Google.
La plomería coincidía con la ambición. Microsoft cuenta con más de diez dominios C2 con conmutación por error automática. El actor dirigió el tráfico a través de Cloudflare Workers y abusó de las páginas de GitHub para alojar balizas.
Un marco polimórfico abarcó aproximadamente 66 extensiones con más de 15 variantes de nombres, y la operación migró de Manifest V2 a V3 a medida que el actor se adaptaba a los cambios de plataforma.
que hacer
Microsoft dice que eliminó las 119 extensiones y suspendió las más de 90 cuentas de desarrollador detrás de ellas. La lista completa de ID de extensión se encuentra en el informe técnico de la empresa.
Abra edge://extensions y compare sus complementos instalados con esa lista. Si algo coincide, o si Edge eliminó uno automáticamente, trate el navegador como expuesto. Cambie las contraseñas de Google, WordPress, cuentas bancarias y otras cuentas confidenciales.
Revise la actividad de inicio de sesión reciente y active la autenticación sólida de dos factores. Las claves de seguridad de hardware resisten este tipo de robo de credenciales de una manera que no lo hacen los códigos SMS. Microsoft publicó indicadores de compromiso para su uso en Chrome, Firefox y otros navegadores Chromium.
StegoAd se parece menos a una campaña nueva que a la cara nueva de una conocida. Su carga útil de credenciales se filtra a mitarchive.info, un dominio que Koi Security vincula con DarkSpectre, la operación china que vinculó en diciembre con las campañas de extensión ShadyPanda y GhostPoster.
La conexión va más allá del dominio. StegoAd oculta el código dentro del icono de una extensión, el mismo método que utilizó GhostPoster meses antes. Los dos incluso comparten nombres de extensiones, como Ads Block Ultimate.
Microsoft no ha nombrado al actor, pero la superposición es clara. El operador sigue activo, afirma Microsoft.
