Microsoft elimină 119 extensii periculoase din Edge. Până la 2,6 milioane de utilizatori le-au instalat fără să știe că ascund malware

Microsoft elimină 119 extensii periculoase din Edge. Până la 2,6 milioane de utilizatori le-au instalat fără să știe că ascund malware
Microsoft a luat măsuri / Foto: Profimedia

Microsoft a anunțat că a eliminat din magazinul oficial Edge Add-ons nu mai puțin de 119 extensii care ascundeau cod malițios într-un mod neobișnuit. Aplicațiile păreau complet legitime și ofereau funcțiile promise, însă după instalare puteau activa, în anumite condiții, mecanisme de furt al datelor și fraudă online.

Potrivit companiei, operațiunea, denumită StegoAd, este atribuită aceluiași actor care desfășoară astfel de activități cel puțin din 2021. În total, extensiile au fost descărcate de până la 2,6 milioane de utilizatori, deși Microsoft precizează că această cifră reprezintă numărul maxim de instalări și nu înseamnă că toate dispozitivele au fost compromise, scrie The Hacker News.

Malware ascuns în imagini și fonturi pentru a evita detectarea

Ceea ce diferențiază această campanie de alte atacuri este metoda folosită pentru ascunderea codului malițios. În loc să includă direct programele periculoase în extensii, atacatorii le-au disimulat în fișiere aparent inofensive, precum imagini PNG, WebP sau chiar fonturi WOFF2.

Această tehnică, cunoscută sub numele de steganografie, permite ascunderea informațiilor într-un fișier fără a modifica aspectul sau funcționarea acestuia. Astfel, imaginile și fonturile continuau să funcționeze normal, iar soluțiile automate de verificare aveau dificultăți în identificarea codului ascuns.

În unele cazuri, extensiile nici măcar nu conțineau local componenta malițioasă. După instalare, descărcau de pe serverele atacatorilor o imagine aparent obișnuită, din care extrăgeau ulterior codul executabil prin mai multe etape de decodare.

Mai mult, extensiile verificau dacă browserul era analizat de specialiști în securitate. Dacă detectau instrumente de depanare active, amânau executarea codului malițios pentru a evita descoperirea.

Furt de parole, coduri de autentificare și deturnarea sesiunilor

La suprafață, multe dintre extensii se comportau ca simple blocatoare de reclame, VPN-uri, traducătoare sau programe pentru descărcarea videoclipurilor. Tocmai această funcționalitate aparent legitimă le-a ajutat să obțină recenzii bune și să rămână disponibile ani la rând.

În realitate, analiza Microsoft a arătat că acestea puteau injecta reclame, redirecționa căutările utilizatorilor și deturna comisioane din programe de afiliere ale unor platforme precum Amazon, eBay sau AliExpress.

Componenta cea mai periculoasă era însă cea dedicată furtului de date. Codul malițios putea colecta credențiale de autentificare pentru conturile Google, inclusiv codurile folosite pentru verificarea în doi pași, putea sustrage datele de conectare ale administratorilor WordPress și copia cookie-urile de autentificare pentru preluarea sesiunilor active.

Microsoft susține că infrastructura folosită de atacatori era una complexă, bazată pe mai multe servere de comandă și control, cu mecanisme automate de rezervă în cazul în care unul dintre ele devenea indisponibil. De asemenea, gruparea a folosit servicii precum Cloudflare Workers și GitHub Pages pentru a-și ascunde activitatea.

Compania a suspendat peste 90 de conturi de dezvoltatori implicate în publicarea acestor extensii și recomandă utilizatorilor să verifice lista oficială a aplicațiilor eliminate. Dacă una dintre ele a fost instalată pe dispozitiv, este indicată schimbarea parolelor pentru conturile importante, inclusiv cele Google, WordPress, bancare și alte servicii sensibile.

Specialiștii recomandă, de asemenea, verificarea istoricului autentificărilor și activarea autentificării în doi pași folosind, dacă este posibil, chei hardware de securitate, considerate mai rezistente la astfel de atacuri decât codurile primite prin SMS.

Potrivit Microsoft, există indicii că operațiunea StegoAd are legături cu campanii malware documentate anterior de alți cercetători în securitate cibernetică. Deși compania nu atribuie oficial atacul unei grupări anume, afirmă că operatorii din spatele acestei infrastructuri sunt în continuare activi.