Microsoft detuvo StegoAd, una operación de 119 extensiones maliciosas en Edge que ocultaban código en imágenes y fuentes para evadir detecciones. Estas herramientas robaban credenciales, ejecutaban fraudes publicitarios y afectaron a millones de usuarios desde 2021. La empresa eliminó las extensiones y recomienda cambiar contraseñas y usar claves de seguridad físicas.

Microsoft ha cerrado una operación de extensiones maliciosas de larga duración en la tienda de complementos de Edge que ocultaba sus cargas útiles dentro de archivos ordinarios de imágenes y fuentes, para luego activarse días después de la instalación con el fin de robar credenciales y ejecutar fraudes publicitarios.

La compañía lo llama StegoAd, una mezcla de esteganografía y adware, y vincula 119 extensiones a un único actor de amenazas que, según afirma, ha estado activo al menos desde 2021.

Las extensiones eran del tipo que la gente instala sin pensarlo dos veces: bloqueadores de anuncios, VPN, traductores, descargadores de vídeo. Cada una hacía su trabajo y obtenía reseñas. El código malicioso permanecía dormido hasta que la extensión superaba una serie de comprobaciones de evasión, razón por la cual permaneció en la tienda durante años.

En conjunto, las 119 extensiones tenían una base de instalación de hasta 2,6 millones de usuarios. Microsoft deja claro que este es el techo, no el recuento de víctimas.

Un retraso de varios días, la validación del lado del servidor y una puerta de ejecución del 10% en algunas variantes significaron que la carga útil nunca se activó en muchas instalaciones. No se sabe cuántas personas se vieron realmente comprometidas.

Código oculto en imágenes y fuentes

El truco que da nombre a la campaña es la esteganografía: esconder código ejecutable dentro de archivos que parecen completamente normales. Las primeras variantes añadían JavaScript después del marcador IEND de un icono PNG, por lo que la imagen se renderizaba correctamente en todas partes mientras transportaba una carga útil que los escáneres estáticos nunca detectaban.

A medida que la detección avanzaba, el actor pasó a imágenes WebP y luego a archivos de fuentes WOFF2, ocultando el código en rangos de glifos que se leían como texto asiático o metadatos de fuentes. Microsoft afirma que la esteganografía a esta escala es rara en el ecosistema de extensiones de navegador.

Algunas variantes de alto impacto ni siquiera enviaban la carga útil localmente. Obtenían una imagen de apariencia normal de un servidor de comando y control (C2). La extensión la decodificaba a través de capas de cambios de mayúsculas/minúsculas, cambios de dígitos, Base64 y XOR, y luego la comprobaba contra una firma antes de ejecutarla.

El servidor C2 solo servía el archivo real a las solicitudes que pasaban una comprobación de huella digital y de User-Agent; cualquiera que lo sondeara directamente, incluidos los investigadores, recibía una respuesta señuelo vacía.



Las extensiones también vigilaban si las DevTools estaban abiertas y prolongaban su estado de dormancia si detectaban que un analista estaba mirando.

Fraude publicitario arriba, robo de credenciales debajo

El daño visible era el fraude publicitario: anuncios inyectados, comisiones de afiliados secuestradas en Amazon, eBay y AliExpress, y búsquedas redireccionadas, todo ello desviando dinero mientras degradaba la navegación.

El análisis de Microsoft de las cargas útiles recuperadas encontró mucho más debajo. Las cargas útiles incluían una puerta trasera de ejecución remota de código que ejecutaba JavaScript arbitrario enviado desde el servidor. También robaban credenciales de Google y códigos de segundo factor al iniciar sesión, recolectaban inicios de sesión de administradores de WordPress y exfiltraban cookies en masa para el secuestro de sesiones.



Microsoft afirma que siete IDs de seguimiento de Google Analytics parecen haber servido como telemetría encubierta, proporcionando al operador paneles en tiempo casi real sobre la campaña a través de la propia infraestructura de Google.

La infraestructura coincidía con la ambición. Microsoft cuenta más de diez dominios C2 con conmutación por error automática. El actor proxyó el tráfico a través de Cloudflare Workers y abusó de GitHub Pages para alojar balizas.

Un marco polimórfico se ejecutó en aproximadamente 66 extensiones bajo más de 15 variantes de nombres, y la operación migró de Manifest V2 a V3 a medida que el actor se adaptaba a los cambios de la plataforma.

Qué hacer

Microsoft afirma que ha eliminado las 119 extensiones y ha suspendido las más de 90 cuentas de desarrolladores detrás de ellas. La lista completa de IDs de extensiones se encuentra en el informe técnico de la compañía.

Abre edge://extensions y compara tus complementos instalados con esa lista. Si algo coincide, o si Edge eliminó uno automáticamente, trata tu navegador como expuesto. Cambia las contraseñas de Google, WordPress, banca y otras cuentas sensibles.

Revisa la actividad de inicio de sesión reciente y activa una autenticación de dos factores fuerte. Las llaves de seguridad de hardware resisten este tipo de robo de credenciales de una manera que los códigos SMS no lo hacen. Microsoft publicó indicadores de compromiso para su uso en Chrome, Firefox y otros navegadores Chromium.

StegoAd parece menos una campaña nueva y más una nueva cara de una ya conocida. Su carga útil de credenciales exfiltra datos a mitarchive.info, un dominio que Koi Security vincula con DarkSpectre, la operación china que vinculó en diciembre con las campañas de extensiones ShadyPanda y GhostPoster.

La conexión va más allá del dominio. StegoAd oculta código dentro del propio icono de una extensión, el mismo método que GhostPoster utilizó meses antes. Ambos incluso comparten nombres de extensiones, como Ads Block Ultimate.

Microsoft no ha nombrado al actor, pero el solapamiento es claro. El operador sigue activo, afirma Microsoft.

Fuente:
THN