- Автор темы
- #1
Специалисты Microsoft предупредили о вредоносной кампании StegoAd, операторы которой распространяли малварь через официальный магазин расширений Edge. Малварь скрывалась внутри обычных изображений и файлов шрифтов, а активировалась только через несколько дней после установки. Расширения занимались рекламным мошенничеством, похищали учетные данные и могли удаленно выполнять JavaScript в браузерах жертв.
Название StegoAd отсылает к стеганографии — сокрытию данных внутри обычных файлов. Дело в том, что первые версии вредоносных расширений дописывали JavaScript после маркера IEND в PNG-иконках. Изображения продолжали нормально отображаться, а защитные решения не замечали скрытый код.
Исследователи связывают с этой кампанией 119 расширений, опубликованных от лица более чем 90 аккаунтов разработчиков. Среди них были блокировщики рекламы, VPN, переводчики и утилиты для загрузки видео. При этом все расширения выполняли заявленные функции, получали положительные отзывы и долгое время не демонстрировали никакой подозрительной активности.
Суммарное количество установок расширений составило примерно 2,6 млн, но в Microsoft подчеркивают, что это не точное количество пострадавших пользователей. Так, некоторые варианты вредоносов активировались только на 10% устройств, а перед запуском проходили серверную проверку и выдерживали многодневную паузу.
Со временем атакующие перешли от сокрытия вредоносного кода в PNG к использованию WebP и шрифтов WOFF2, маскируя полезные нагрузки под азиатские символы и служебные метаданные. Часть расширений загружала с управляющего сервера хакеров обычную на вид картинку, после чего расшифровывала ее при помощи смены регистра, подмены цифр, Base64 и XOR. Затем расширение сверяло полученный код с сигнатурой и только после успешной проверки запускало его.
При этом управляющие серверы атакующих отдавали нужные файлы лишь в ответ на запросы с подходящим фингерпринтом и User-Agent. Исследователи, которые обращались к инфраструктуре напрямую, видели только пустую «заглушку». Кроме того, расширения проверяли, открыты ли в браузере инструменты разработчика, и в случае обнаружения попытки анализа переходили в спящий режим.
Эксперты пишут, что расширения StegoAd в основном использовались для подмены поисковой выдачи, внедрения рекламы и перехвата партнерских ссылок на Amazon, eBay и AliExpress с целью получения комиссии. Однако некоторые пейлоады содержали и более опасные функции. К примеру, малварь могла перехватывать учетные данные Google и коды двухфакторной аутентификации, похищать логины и пароли администраторов в WordPress, а также массово воровать файлы cookie для захвата сессий. К тому же встроенный в расширения бэкдор позволял выполнять в браузере жертвы произвольный JavaScript, полученный с сервера хакеров.
По данным исследователей, в инфраструктуру злоумышленников входили более десяти C&C-доменов с автоматическим переключением, перенаправление трафика осуществлялось через Cloudflare Workers, а GitHub Pages использовались для размещения маяков. Более того, в какой-то момент злоумышленники даже мигрировали с Manifest V2 на Manifest V3.
В настоящее время все 119 расширений удалены из официального магазина, а связанные с ними аккаунты заблокированы. Пользователям рекомендуют проверить список установленных аддонов на странице edge://extensions. Если обнаружится, что браузер автоматически удалил одно из расширений StegoAd, следует считать его скомпрометированным. Пострадавшим советуют сменить учетные данные в Google, WordPress, банковских и других важных аккаунтах, проверить историю входов и включить двухфакторную аутентификацию.
Название StegoAd отсылает к стеганографии — сокрытию данных внутри обычных файлов. Дело в том, что первые версии вредоносных расширений дописывали JavaScript после маркера IEND в PNG-иконках. Изображения продолжали нормально отображаться, а защитные решения не замечали скрытый код.
Исследователи связывают с этой кампанией 119 расширений, опубликованных от лица более чем 90 аккаунтов разработчиков. Среди них были блокировщики рекламы, VPN, переводчики и утилиты для загрузки видео. При этом все расширения выполняли заявленные функции, получали положительные отзывы и долгое время не демонстрировали никакой подозрительной активности.
Суммарное количество установок расширений составило примерно 2,6 млн, но в Microsoft подчеркивают, что это не точное количество пострадавших пользователей. Так, некоторые варианты вредоносов активировались только на 10% устройств, а перед запуском проходили серверную проверку и выдерживали многодневную паузу.
Со временем атакующие перешли от сокрытия вредоносного кода в PNG к использованию WebP и шрифтов WOFF2, маскируя полезные нагрузки под азиатские символы и служебные метаданные. Часть расширений загружала с управляющего сервера хакеров обычную на вид картинку, после чего расшифровывала ее при помощи смены регистра, подмены цифр, Base64 и XOR. Затем расширение сверяло полученный код с сигнатурой и только после успешной проверки запускало его.
При этом управляющие серверы атакующих отдавали нужные файлы лишь в ответ на запросы с подходящим фингерпринтом и User-Agent. Исследователи, которые обращались к инфраструктуре напрямую, видели только пустую «заглушку». Кроме того, расширения проверяли, открыты ли в браузере инструменты разработчика, и в случае обнаружения попытки анализа переходили в спящий режим.
Эксперты пишут, что расширения StegoAd в основном использовались для подмены поисковой выдачи, внедрения рекламы и перехвата партнерских ссылок на Amazon, eBay и AliExpress с целью получения комиссии. Однако некоторые пейлоады содержали и более опасные функции. К примеру, малварь могла перехватывать учетные данные Google и коды двухфакторной аутентификации, похищать логины и пароли администраторов в WordPress, а также массово воровать файлы cookie для захвата сессий. К тому же встроенный в расширения бэкдор позволял выполнять в браузере жертвы произвольный JavaScript, полученный с сервера хакеров.
По данным исследователей, в инфраструктуру злоумышленников входили более десяти C&C-доменов с автоматическим переключением, перенаправление трафика осуществлялось через Cloudflare Workers, а GitHub Pages использовались для размещения маяков. Более того, в какой-то момент злоумышленники даже мигрировали с Manifest V2 на Manifest V3.
В настоящее время все 119 расширений удалены из официального магазина, а связанные с ними аккаунты заблокированы. Пользователям рекомендуют проверить список установленных аддонов на странице edge://extensions. Если обнаружится, что браузер автоматически удалил одно из расширений StegoAd, следует считать его скомпрометированным. Пострадавшим советуют сменить учетные данные в Google, WordPress, банковских и других важных аккаунтах, проверить историю входов и включить двухфакторную аутентификацию.
