Microsoft detuvo una extensión maliciosa que estuvo ejecutándose durante mucho tiempo en la tienda de complementos de Edge. La extensión ocultó su carga útil dentro de archivos de imágenes y fuentes normales, luego se despertó días después de la instalación para robar credenciales y realizar fraude publicitario.
La compañía lo llama «StegoAd», una combinación de esteganografía y adware que, según la compañía, vincula 119 extensiones a un solo atacante y ha estado activo desde al menos 2021.
Las extensiones eran el tipo de cosas que la gente instalaba sin pensar, como bloqueadores de anuncios, VPN, traductores y descargadores de vídeos. Cada uno hizo su parte y obtuvo críticas. El código malicioso permaneció inactivo en la tienda durante años hasta que la extensión pasó una montaña de controles de evasión.
Juntas, las 119 extensiones tenían una base instalada de ~2,6 millones de usuarios. Microsoft deja claro que se trata de un límite, no de un número de víctimas.
Los retrasos de varios días, la validación del lado del servidor y una puerta de ejecución del 10% en algunas variantes impidieron que muchas instalaciones lanzaran sus cargas útiles. No está claro cuántas personas se vieron realmente comprometidas.
Código oculto en imágenes y fuentes.
El truco que dio nombre a esta campaña es la esteganografía. Es decir, insertar código ejecutable dentro de un archivo que parece perfectamente normal. Las primeras variantes agregaron JavaScript después del marcador IEND del ícono PNG, lo que permitió que las imágenes se representaran exitosamente en todas partes, a pesar de que llevaban cargas útiles que los escáneres estáticos no marcaban.
Una vez que la detección fue detectada, los atacantes pasaron a las imágenes WebP y luego a los archivos de fuentes WOFF2, ocultando el código dentro de rangos de glifos que se leían como texto asiático o metadatos de fuentes. Microsoft considera que la esteganografía de esta escala es poco común en el ecosistema de extensiones de navegador.
Algunas de las variantes más impactantes ni siquiera enviaron su carga útil localmente. Obtuvieron una imagen de aspecto normal de un servidor de comando y control. La extensión lo decodificó a través de capas de intercambio de mayúsculas y minúsculas, intercambio de números, Base64 y XOR, y lo comparó con la firma antes de la ejecución.
El servidor C2 entregó el archivo real solo para las solicitudes que pasaron las verificaciones de huellas dactilares y agente de usuario. Los encuestados directamente, incluidos los investigadores, recibieron respuestas vacías como señuelo.
La extensión también monitoreó las DevTools abiertas y la hibernación extendida si encontraba al analista que estaba buscando.
Fraude publicitario arriba, robo de credenciales abajo.
El daño visible fue el fraude publicitario. La inserción de anuncios, el secuestro de comisiones de afiliados en Amazon, eBay y AliExpress, y la redirección de búsqueda, le quitan dinero y reducen la calidad de su experiencia de navegación.
Cuando Microsoft analizó la carga útil capturada, encontró mucho más debajo. La carga útil contenía una puerta trasera de ejecución remota de código que ejecutaba JavaScript arbitrario enviado desde el servidor. También robó credenciales de Google y códigos de dos factores durante el inicio de sesión, recopiló información de inicio de sesión del administrador de WordPress y extrajo cookies para secuestrar la sesión.
Microsoft dijo que los siete ID de seguimiento de Google Analytics parecen haber actuado como telemetría encubierta, proporcionando a los operadores un panel de control casi en tiempo real sobre la campaña a través de la propia infraestructura de Google.
La fontanería coincidía con la ambición. Microsoft cuenta con más de 10 dominios C2 con conmutación por error automática. Los atacantes enviaron tráfico a través de Cloudflare Workers y aprovecharon las páginas de GitHub para alojar las balizas.
El marco polimórfico abarcaba aproximadamente 66 extensiones con más de 15 variantes de nombres, y las operaciones pasaron de Manifest V2 a V3 a medida que los atacantes se adaptaban a los cambios de plataforma.
que hacer
Microsoft anunció que eliminó las 119 extensiones y suspendió más de 90 cuentas de desarrolladores detrás de ellas. Puede encontrar una lista completa de ID de extensión en el informe técnico de la empresa.
Abra edge://extensions y compare los complementos instalados con esa lista. Si se encuentra una coincidencia o si Edge la elimina automáticamente, el navegador se trata como público. Cambie las contraseñas de Google, WordPress, cuentas bancarias y otras cuentas confidenciales.
Vea la actividad de inicio de sesión reciente y habilite una autenticación sólida de dos factores. Las claves de seguridad de hardware, a diferencia de los códigos SMS, resisten este tipo de robo de credenciales. Microsoft publicó indicadores de compromiso utilizados en Chrome, Firefox y otros navegadores Chromium.
StegoAd parece más una nueva cara de una campaña conocida que una campaña nueva. Esa carga útil de credenciales se exfiltra a mitarchive.info, un dominio asociado con DarkSpectre, una operación china que Koi Security vinculó a las campañas de extensión ShadyPanda y GhostPoster en diciembre.
Conexiones entre dominios. StegoAd oculta el código dentro del propio icono de la extensión. Este es el mismo método que utilizó GhostPoster hace unos meses. Los dos también comparten nombres de extensiones como Ads Block Ultimate.
Microsoft no nombró a los atacantes, pero la superposición es clara. Microsoft dice que el operador todavía está activo.
Source link
