Microsoft rimuove 119 estensioni di Edge che nascondivano malware in immagini e font

Microsoft rimuove 119 estensioni di Edge che nascondivano malware in immagini e font

Microsoft rimuove 119 estensioni di Edge che nascondivano malware in immagini e font

Se usi il browser Microsoft Edge, è fondamentale sapere che l’azienda ha appena eliminato 119 estensioni pericolose che potevano infettare il tuo computer. Queste estensioni, apparentemente utili come blocchi pubblicitari o traduttori, contavano in realtà codice malevolo nascosto dentro immagini e file di testo. Il rischio principale è la perdita delle tue credenziali (come password di Google o WordPress) e la frode pubblicitaria che danneggia il tuo browser. La soluzione immediata è controllare le tue estensioni installate: vai su edge://extensions/, attiva la modalità sviluppatore e rimuovi qualsiasi estensione che non riconosci o che corrisponde alla lista pubblicata da Microsoft. Se hai usato una di queste, cambia subito le password dei tuoi account sensibili.

La campagna, chiamata StegoAd, è stata attiva da almeno 2021 e ha colpito fino a 2,6 milioni di utenti. Microsoft ha chiarito che questo numero è un limite massimo e non indica quante persone siano state effettivamente compromesse, poiché il codice malevolo utilizzava meccanismi di difesa complessi per evitare di essere eseguito in tutti i casi. Tuttavia, per chi è stato infettato, le conseguenze sono gravi: furto di dati, accesso ai cookie per il hijacking delle sessioni e manipolazione dei risultati delle ricerche per generare guadagni ai truffatori.

Le estensioni coinvolte erano quelle che le persone installano senza pensare troppo, come bloccatori di pubblicità, VPN, traduttori e downloader di video. Ogni estensione funzionava correttamente e aveva recensioni positive, ma il codice malevolo restava dormiente fino al superamento di una serie di controlli di evasione. Questo ha permesso alle estensioni di rimanere nello store per anni senza essere rilevate. Il codice era nascosto usando la tecnica di steganografia, che inserisce dati eseguibili in file che sembrano normali, come immagini PNG o file WebP. Le prime varianti appendevano JavaScript dopo il marker IEND di un’icona PNG, così l’immagine veniva visualizzata correttamente ovunque, ma conteneva un payload che gli scanner statici non rilevavano.

Quando la detection è migliorata, l’attore malevolo è passato alle immagini WebP e poi ai file di font WOFF2, nascondendo il codice nelle gamme dei caratteri che apparivano come testo asiatico o metadati del font. Microsoft afferma che la steganografia a questa scala è rara nell’ecosistema delle estensioni del browser. Alcune varianti ad alto impatto non distribuivano il payload localmente, ma lo recuperavano da un server di comando e controllo. L’estensione decodificava l’immagine attraverso livelli di scambi di casi, scambi di cifre, Base64 e XOR, poi la verificava contro una firma prima di eseguirla.

Il server C2 serviva solo il file reale alle richieste che passavano un controllo di fingerprint e User-Agent; chiunque provava a sondarlo direttamente, inclusi i ricercatori, riceveva una risposta vuota e deco. Le estensioni monitoravano anche l’apertura di DevTools e prolungavano la loro dormienza se rilevavano un analista che osservava. La frode pubblicitaria era il danno visibile, con ads inseriti, commissioni affiliate hijackate su Amazon, eBay e AliExpress, e ricerche redirectate, che rubavano denaro mentre degradavano l’esperienza di navigazione.

L’analisi di Microsoft sui payload recuperati ha mostrato che c’era molto più sotto: backdoor per l’esecuzione remota di codice che eseguivano JavaScript arbitrario inviato dal server, furto di credenziali Google e codici second-factor al momento dell’accesso, raccolta di logini admin di WordPress e esfiltrazione di cookie in blocco per il hijacking delle sessioni. Sette ID di tracking di Google Analytics sono stati identificati come telemetria covert, dando all’operatore dashboard quasi in tempo reale sulla campagna attraverso l’infrastruttura di Google stessa.

La infrastruttura corrispondeva all’ambizione: Microsoft ha conteggiato più di dieci domini C2 con failover automatico. L’attore ha proxyato il traffico attraverso Cloudflare Workers e ha abusato di GitHub Pages per ospitare beacon. Un framework polimorfico è stato eseguito su circa 66 estensioni sotto 15 varianti di nomi, e l’operazione è migrata da Manifest V2 a V3 come l’attore si è adattato ai cambiamenti della piattaforma.

Technical Deep Dive

Per gli utenti tecnici, è importante comprendere i dettagli avanzati della campagna StegoAd. La steganografia utilizzata non è solo un semplice append di codice, ma una complessa manipolazione dei formati di file. Le prime varianti appendevano JavaScript dopo il marker IEND di un’icona PNG, sfruttando la struttura del formato per mantenere l’immagine visibile mentre il payload era presente. Questo approccio ha permesso di bypassare gli scanner statici che non analizzavano il contenuto dopo il marker IEND.

Quando la detection è migliorata, l’attore è passato alle immagini WebP e poi ai file di font WOFF2. In questi formati, il codice è nascosto nelle gamme dei caratteri che apparivano come testo asiatico o metadati del font. Questo rende il rilevamento ancora più difficile, poiché il codice è integrato in modo che non altera la visualizzazione del font o dell’immagine. Microsoft afferma che la steganografia a questa scala è rara nell’ecosistema delle estensioni del browser, indicando che questa campagna è particolarmente sofisticata.

Le varianti ad alto impatto non distribuivano il payload localmente, ma lo recuperavano da un server di comando e controllo. L’estensione decodificava l’immagine attraverso livelli di scambi di casi, scambi di cifre, Base64 e XOR, poi la verificava contro una firma prima di eseguirla. Questo processo di decodificazione multi-livello aggiunge un ulteriore strato di complessità al rilevamento, poiché il payload non è visibile fino al momento dell’esecuzione.

Il server C2 serviva solo il file reale alle richieste che passavano un controllo di fingerprint e User-Agent. Questo meccanismo di sicurezza previene l’analisi diretta del server, poiché chiunque provava a sondarlo direttamente, inclusi i ricercatori, riceveva una risposta vuota e deco. Le estensioni monitoravano anche l’apertura di DevTools e prolungavano la loro dormienza se rilevavano un analista che osservava, rendendo ancora più difficile l’analisi dinamica del codice malevolo.

L’infrastuttura di StegoAd è particolarmente robusta: Microsoft ha conteggiato più di dieci domini C2 con failover automatico, il che significa che se un dominio è bloccato, l’attore può passare immediatamente a un altro senza interruzione del servizio. L’attore ha proxyato il traffico attraverso Cloudflare Workers e ha abusato di GitHub Pages per ospitare beacon, sfruttando infrastrutture legittime per evitare il rilevamento. Un framework polimorfico è stato eseguito su circa 66 estensioni sotto 15 varianti di nomi, e l’operazione è migrata da Manifest V2 a V3 come l’attore si è adattato ai cambiamenti della piattaforma, dimostrando una capacità di adattamento rapida e sofisticata.

La connessione con DarkSpectre è un altro aspetto cruciale: StegoAd esporta il payload a mitarchive.info, un dominio legato a DarkSpectre, l’operazione cinese che ha collegato in dicembre a ShadyPanda e GhostPoster. La connessione va oltre il dominio: StegoAd nasconde il codice dentro l’icona dell’estensione stessa, la stessa metodo usato da GhostPoster mesi prima. Le due campagne condividono anche nomi di estensione, come Ads Block Ultimate, indicando una possibile collaborazione o un’evoluzione della stessa campagna malevola.

Microsoft non ha nominato l’attore, ma l’overlap è chiaro. L’operatore è ancora attivo, secondo Microsoft. Per gli utenti tecnici, è essenziale monitorare le nuove estensioni e utilizzare strumenti di analisi avanzati per rilevare codice malevolo nascosto. L’uso di strumenti come l’analisi dinamica, il monitoraggio del traffico di rete e l’uso di scanner specializzati per la steganografia può aiutare a identificare e rimuovere queste estensioni pericolose prima che causano danni significativi.

Fonte: https://thehackernews.com/2026/06/microsoft-removes-119-edge-extensions.html

Torna in alto