A Microsoft desativou uma operação maliciosa de longa duração na loja Edge Add-ons, no navegador Edge, que escondia seus payloads dentro de arquivos comuns de imagem e fonte.
Depois de alguns dias da instalação, as extensões eram ativadas para roubar credenciais e realizar fraude publicitária.
A empresa batizou a campanha de StegoAd, uma combinação de esteganografia e adware, e atribuiu 119 extensões a um único threat actor que, segundo a Microsoft, está ativo desde pelo menos 2021.
As extensões eram do tipo que muita gente instala sem pensar duas vezes, como bloqueadores de anúncios, VPNs, tradutores e baixadores de vídeos.
Cada uma cumpria sua função e recebia avaliações positivas.
O código malicioso permanecia inativo até passar por uma série de verificações de evasão, o que permitiu que o material ficasse na loja por anos.
No total, as 119 extensões somavam até 2,6 milhões de usuários instalados.
A Microsoft deixa claro que esse número é um teto, não uma contagem de vítimas.
O atraso de vários dias antes da execução, a validação do lado do servidor e um bloqueio de execução de 10% em algumas variantes fizeram com que o payload não fosse acionado em muitas instalações.
Assim, não se sabe quantas pessoas foram realmente comprometidas.
A técnica que dá nome à campanha é a esteganografia, isto é, a prática de esconder código executável em arquivos que parecem completamente normais.
Nas primeiras variantes, os arquivos JavaScript eram anexados após o marcador IEND de um ícone PNG, de modo que a imagem era exibida normalmente, enquanto carregava um payload que os scanners estáticos não detectavam.
Com o avanço da detecção, o threat actor migrou para imagens WebP e depois para arquivos de fonte WOFF2, escondendo código em faixas de glifos que pareciam texto asiático ou metadados da fonte.
A Microsoft afirma que usar esteganografia nessa escala é algo raro no ecossistema de extensões do navegador.
Algumas variantes mais impactantes nem sequer entregavam o payload localmente.
Elas buscavam uma imagem aparentemente legítima em um servidor de command and control.
A extensão decodificava o conteúdo em camadas de troca de maiúsculas e minúsculas, troca de dígitos, Base64 e XOR, e só então verificava a assinatura antes de executar.
O servidor C2 só entregava o arquivo real para requisições que passavam por uma checagem de impressão digital e de User-Agent.
Quem tentava acessá-lo diretamente, inclusive pesquisadores, recebia uma resposta vazia e enganosa.
As extensões também monitoravam a abertura do DevTools e estendiam seu período de inatividade se percebiam que havia um analista observando.
O dano mais visível era a fraude publicitária: anúncios injetados, desvio de comissões de afiliados em Amazon, eBay e AliExpress, além do redirecionamento de buscas, tudo para desviar dinheiro e piorar a experiência de navegação.
A análise da Microsoft sobre os payloads recuperados encontrou muito mais coisa por baixo.
Entre os componentes havia um backdoor de execução remota de código capaz de rodar JavaScript arbitrário enviado pelo servidor.
Também foram roubadas credenciais do Google e códigos de segundo fator no momento do login, além de logins de administrador do WordPress.
Cookies também eram extraídos em massa para sequestro de sessão.
A Microsoft afirma que sete IDs de rastreamento do Google Analytics parecem ter sido usados como telemetria secreta, oferecendo ao operador painéis quase em tempo real sobre a campanha por meio da própria infraestrutura do Google.
A infraestrutura combinava com a ambição da operação.
A Microsoft conta mais de 10 domínios C2 com failover automático.
O threat actor também roteava tráfego por meio do Cloudflare Workers e abusava do GitHub Pages para hospedar beacons.
Um framework polimórfico operava em cerca de 66 extensões sob mais de 15 variações de nome, e a campanha migrou do Manifest V2 para o V3 à medida que o ator se adaptava às mudanças da plataforma.
A Microsoft informa que removeu as 119 extensões e suspendeu mais de 90 contas de desenvolvedor ligadas à operação.
A lista completa de IDs das extensões está no relatório técnico da empresa.
Abra o endereço edge://extensions e compare os add-ons instalados com essa lista.
Se houver qualquer correspondência, ou se o Edge tiver removido alguma extensão automaticamente, trate o navegador como exposto.
Troque as senhas de contas do Google, WordPress, bancos e outros serviços sensíveis.
Revise o histórico recente de login e ative uma autenticação de dois fatores mais forte.
Chaves de segurança físicas resistem melhor a esse tipo de roubo de credenciais do que códigos enviados por SMS.
A Microsoft também publicou indicadores de comprometimento para uso no Chrome, Firefox e outros navegadores baseados em Chromium.
O StegoAd parece menos uma campanha nova e mais uma nova face de uma operação já conhecida.
O payload de roubo de credenciais exfiltra dados para mitarchive.info, um domínio que a Koi Security associa ao DarkSpectre, a operação chinesa que a empresa ligou, em dezembro, às campanhas de extensões ShadyPanda e GhostPoster.
A ligação vai além do domínio.
O StegoAd esconde código dentro do próprio ícone da extensão, o mesmo método usado pelo GhostPoster meses antes.
As duas campanhas ainda compartilham nomes de extensões, como Ads Block Ultimate.
A Microsoft não nomeou o ator, mas a sobreposição é evidente.
Segundo a empresa, o operador continua ativo.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...