Microsoft remove 119 extensões maliciosas do Edge que escondiam malware em imagens e fontes

Resumo: A Microsoft removeu 119 extensões maliciosas da loja Edge Add-ons após descobrir uma operação batizada de StegoAd, que escondia código malicioso dentro de arquivos de imagem e fontes para roubar credenciais e executar fraude publicitária. As extensões somavam um teto estimado de 2,6 milhões de instalações e eram operadas por um único ator de ameaças ativo desde pelo menos 2021.

O que aconteceu

A Microsoft anunciou nesta semana o desligamento de uma das maiores operações de adware-malware já identificadas em sua loja de extensões para o navegador Edge. A campanha, batizada de StegoAd (combinação de “steganography” com “adware”), envolvia 119 extensões publicadas ao longo de anos por um único agente de ameaças. A empresa atribui à operação atividade contínua desde, no mínimo, 2021.

As extensões se passavam por utilitários cotidianos: bloqueadores de anúncios, VPNs, tradutores e baixadores de vídeo. Cada uma cumpria sua função aparente, coletava avaliações positivas e mantinha um perfil acima de qualquer suspeita. O código malicioso permanecia dormente até que uma série de verificações de evasão fosse cumprida, o que permitiu que os add-ons permanecessem listados por anos.

O número de 2,6 milhões de instalações representa o teto agregado dos downloads. A Microsoft enfatiza que esse não é o número de vítimas: um atraso de vários dias entre instalação e ativação, validação no servidor e, em algumas variantes, um portão de execução de apenas 10% reduzem o universo real de comprometidos.

Como o ataque funcionava

A técnica central do StegoAd é a esteganografia – esconder dados executáveis dentro de arquivos que parecem inofensivos. Em vez de baixar um payload direto, as extensões puxavam imagens PNG e arquivos de fonte WOFF/TTF aparentemente legítimos de servidores controlados pelos invasores. Essas imagens e fontes carregavam, nos próprios bytes, o código malicioso que seria desempacotado e executado pelo navegador da vítima.

Esse design driblou as varreduras automáticas da loja porque, no momento da revisão, as extensões não continham código malicioso explícito – apenas a infraestrutura para buscar e decodificar arquivos visuais remotos. A análise de comportamento, somada às verificações de sandbox e geolocalização, garantia que a varredura inicial não disparasse a parte ofensiva da extensão.

“A combinação de esteganografia, atraso de execução e portões probabilísticos transforma cada extensão em uma carga que só se revela contra um subconjunto restrito de vítimas – exatamente o que torna detecção em larga escala tão difícil.”

Ao despertar, os módulos do StegoAd faziam duas coisas: roubavam credenciais salvas no navegador (cookies de sessão, tokens de autenticação, dados de formulários) e injetavam fluxos de fraude publicitária – abrindo abas invisíveis, clicando em anúncios e desviando comissões de affiliate. O ator de ameaças monetizava simultaneamente o roubo de dados e o tráfego falso.

Quem é afetado

• Usuários do Microsoft Edge que instalaram ad blockers, VPNs gratuitas, tradutores ou baixadores de vídeo de desenvolvedores pouco conhecidos nos últimos quatro anos
• Profissionais e ambientes corporativos que dependem do Edge como navegador padrão, especialmente em organizações sem políticas de allowlist de extensões
• Anunciantes e plataformas de mídia programática prejudicados pela fraude de cliques em larga escala
• Empresas cujas credenciais corporativas, cookies de sessão SSO ou tokens OAuth tenham sido capturados em máquinas com as extensões instaladas

Análise

StegoAd não é a primeira campanha em massa contra lojas oficiais de extensões – Google, Mozilla e a própria Microsoft removeram centenas de add-ons maliciosos nos últimos anos. O que diferencia este caso é a combinação madura de três técnicas: esteganografia para evadir a varredura estática, atraso temporal para evitar gatilhos comportamentais, e um operador que sustentou a operação por meia década com a mesma infraestrutura. Isso indica um modelo de negócio rentável o suficiente para justificar a paciência operacional.

O caso ecoa episódios anteriores como The Great Suspender (Chrome, 2021) e ChromeLoader (2022), mas a sofisticação do empacotamento via fontes e imagens marca uma evolução. Esperar que lojas oficiais sirvam como ponto único de defesa é cada vez menos realista – qualquer pacote que executa código no contexto do navegador precisa ser tratado como um vetor potencial de comprometimento, independentemente de onde foi baixado.

Para defensores corporativos, a lição imediata é tratar extensões de navegador com o mesmo rigor de software cliente: inventariar, classificar por risco e bloquear o que não estiver explicitamente aprovado. Para usuários domésticos, a regra mais simples segue valendo – quanto menos extensões instaladas, menor a superfície de ataque.

Recomendações práticas

• Audite imediatamente as extensões instaladas no Edge em todas as máquinas corporativas – desinstale qualquer item de desenvolvedor desconhecido ou com instalações abaixo de 100 mil sem necessidade comprovada
• Configure política de grupo (GPO/Intune) para Edge ExtensionInstallAllowlist, permitindo apenas IDs explicitamente aprovados
• Force o reset de credenciais salvas no navegador em máquinas que tinham extensões removidas; revogue tokens OAuth e cookies de sessão de SSO
• Habilite políticas que bloqueiem o download de arquivos de origem remota dentro do contexto de extensões (sandboxing reforçado)
• Monitore tráfego de rede para domínios CDN-like de baixa reputação acessados a partir do processo do navegador, especialmente requisições de PNG e WOFF para destinos não familiares
• Para usuários domésticos: limpe extensões e prefira navegadores em modo perfil isolado para tarefas sensíveis (banco, e-mail corporativo)

Fonte: The Hacker News