• Добро пожаловать на сайт - Forumteam.bet !

    Что бы просматривать темы форума необходимо зарегестрироваться или войти в свой аккаунт.

    Группа в телеграме (подпишитесь, что бы не потерять нас) - ForumTeam Chat [Подписатся]
    Связь с администратором - @ftmadmin

119 расширений для Edge скрывали малварь в картинках и шрифтах

Article Publisher

Публикатор
Команда форума
Регистрация
05.02.25
Специалисты Microsoft предупредили о вредоносной кампании StegoAd, операторы которой распространяли малварь через официальный магазин расширений Edge. Малварь скрывалась внутри обычных изображений и файлов шрифтов, а активировалась только через несколько дней после установки. Расширения занимались рекламным мошенничеством, похищали учетные данные и могли удаленно выполнять JavaScript в браузерах жертв.

Название StegoAd отсылает к стеганографии — сокрытию данных внутри обычных файлов. Дело в том, что первые версии вредоносных расширений дописывали JavaScript после маркера IEND в PNG-иконках. Изображения продолжали нормально отображаться, а защитные решения не замечали скрытый код.


Исследователи связывают с этой кампанией 119 расширений, опубликованных от лица более чем 90 аккаунтов разработчиков. Среди них были блокировщики рекламы, VPN, переводчики и утилиты для загрузки видео. При этом все расширения выполняли заявленные функции, получали положительные отзывы и долгое время не демонстрировали никакой подозрительной активности.

Суммарное количество установок расширений составило примерно 2,6 млн, но в Microsoft подчеркивают, что это не точное количество пострадавших пользователей. Так, некоторые варианты вредоносов активировались только на 10% устройств, а перед запуском проходили серверную проверку и выдерживали многодневную паузу.

Со временем атакующие перешли от сокрытия вредоносного кода в PNG к использованию WebP и шрифтов WOFF2, маскируя полезные нагрузки под азиатские символы и служебные метаданные. Часть расширений загружала с управляющего сервера хакеров обычную на вид картинку, после чего расшифровывала ее при помощи смены регистра, подмены цифр, Base64 и XOR. Затем расширение сверяло полученный код с сигнатурой и только после успешной проверки запускало его.



При этом управляющие серверы атакующих отдавали нужные файлы лишь в ответ на запросы с подходящим фингерпринтом и User-Agent. Исследователи, которые обращались к инфраструктуре напрямую, видели только пустую «заглушку». Кроме того, расширения проверяли, открыты ли в браузере инструменты разработчика, и в случае обнаружения попытки анализа переходили в спящий режим.

Эксперты пишут, что расширения StegoAd в основном использовались для подмены поисковой выдачи, внедрения рекламы и перехвата партнерских ссылок на Amazon, eBay и AliExpress с целью получения комиссии. Однако некоторые пейлоады содержали и более опасные функции. К примеру, малварь могла перехватывать учетные данные Google и коды двухфакторной аутентификации, похищать логины и пароли администраторов в WordPress, а также массово воровать файлы cookie для захвата сессий. К тому же встроенный в расширения бэкдор позволял выполнять в браузере жертвы произвольный JavaScript, полученный с сервера хакеров.



По данным исследователей, в инфраструктуру злоумышленников входили более десяти C&C-доменов с автоматическим переключением, перенаправление трафика осуществлялось через Cloudflare Workers, а GitHub Pages использовались для размещения маяков. Более того, в какой-то момент злоумышленники даже мигрировали с Manifest V2 на Manifest V3.

В настоящее время все 119 расширений удалены из официального магазина, а связанные с ними аккаунты заблокированы. Пользователям рекомендуют проверить список установленных аддонов на странице edge://extensions. Если обнаружится, что браузер автоматически удалил одно из расширений StegoAd, следует считать его скомпрометированным. Пострадавшим советуют сменить учетные данные в Google, WordPress, банковских и других важных аккаунтах, проверить историю входов и включить двухфакторную аутентификацию.
 
Сверху Снизу