Microsoft identificó y eliminó 119 extensiones maliciosas asociadas a StegoAd, una campaña que usaba esteganografía, ejecución diferida y validación desde servidores para ocultar cargas maliciosas.
Microsoft informó que identificó y desmanteló StegoAd, una campaña de extensiones maliciosas para navegador que operaba mediante cargas ocultas en archivos de imagen y fuentes.
Según una publicación del Microsoft Edge Extensions Security Team, https://microsoftedge.github.io/edgevr/posts/Inside-StegoAd-How-We-Disrupted-a-Massive-Malicious-Extension-Campaign/, la campaña involucró 119 extensiones maliciosas distribuidas mediante más de 90 cuentas de desarrollador. En conjunto, esas extensiones alcanzaron hasta 2,6 millones de instalaciones.
Microsoft subraya que no todas las instalaciones derivaron en ejecución de la carga maliciosa. La propia lógica de evasión del actor incluía retrasos temporales, ejecución probabilística y validación del lado del servidor, por lo que el payload no se activaba en todos los usuarios.
La campaña fue denominada StegoAd por la combinación de esteganografía y fraude publicitario. La técnica central consistía en ocultar código ejecutable dentro de archivos aparentemente normales, como imágenes PNG, archivos WebP o fuentes WOFF2.
De acuerdo con Microsoft, el actor publicaba extensiones que imitaban categorías populares, como bloqueadores de anuncios, VPN, traductores y descargadores de video. Las extensiones ofrecían funcionalidad real para ganar confianza, obtener reseñas positivas y evitar sospechas iniciales.
La ejecución maliciosa no era inmediata. La fuente describe una cadena de ataque de cinco etapas: suplantación en la tienda, periodo de inactividad y evasión, recuperación de una carga oculta, decodificación en varias capas y activación de módulos para monetización o robo de datos.
Uno de los mecanismos de evasión consistía en esperar entre tres y cinco días antes de actuar. La extensión también podía detectar si las herramientas de desarrollo del navegador estaban abiertas y permanecer oculta. Posteriormente recuperaba una imagen aparentemente normal desde el paquete de la extensión o desde un servidor de comando y control.
El payload oculto era decodificado mediante varias transformaciones, entre ellas cambios de mayúsculas y minúsculas, sustitución de dígitos, Base64 y XOR. Microsoft indica que la carga se validaba mediante una firma antes de ejecutarse.
Aunque la campaña incluía fraude publicitario, Microsoft sostiene que el alcance iba más allá de reemplazar anuncios o redirigir búsquedas. El análisis dinámico de cargas recuperadas mostró capacidades de robo de credenciales, recolección de cookies y una puerta trasera de ejecución remota de código que podía entregar funcionalidades adicionales después de la instalación.
Entre los riesgos observados, Microsoft menciona interceptación de credenciales de Google y códigos de segundo factor durante el inicio de sesión, extracción controlada de cookies del navegador, captura de credenciales de administradores de WordPress, secuestro de comisiones de afiliados y uso de Google Analytics como canal encubierto de telemetría.
La infraestructura de StegoAd operaba sobre más de diez dominios de comando y control, organizados por función, incluyendo entrega de payloads, exfiltración de credenciales, relés proxy y telemetría. Microsoft también menciona uso de conmutación automática por error, Cloudflare Workers y abuso de GitHub Pages para alojar beacons de telemetría y puertas de reCAPTCHA.
La atribución a un solo actor se basó, según Microsoft, en señales convergentes: infraestructura compartida, huellas de código comunes, recreación rápida de cuentas tras suspensiones, identificadores de monetización compartidos y patrones similares en la metadata de desarrolladores.
La empresa afirma que eliminó las 119 extensiones identificadas de la tienda Microsoft Edge Add-ons, suspendió más de 90 cuentas de desarrollador y desplegó nuevas capacidades de detección, incluyendo análisis dinámico de respuestas de servidores C2 y escaneo de payloads esteganográficos.
Microsoft también publicó indicadores de compromiso para facilitar defensas en otros navegadores basados en Chromium, además de Chrome, Firefox y otras plataformas. La publicación indica que el actor permanece activo y que la vigilancia continúa.
Para usuarios, Microsoft recomienda revisar las extensiones instaladas en edge://extensions, compararlas con la lista técnica de identificadores publicada por la compañía y cambiar contraseñas si existe sospecha de exposición, especialmente en cuentas sensibles como Google, banca o WordPress. También aconseja revisar permisos antes de instalar extensiones, preferir publicadores verificados, mantener el navegador actualizado y activar autenticación fuerte.
===
📬 Newsletter gratuito
