Microsoft a retiré 119 extensions de la plateforme de téléchargement du navigateur Edge. Ces dernières étaient rattachées à une campagne que l'éditeur a baptisée StegoAd.
Les chercheurs de Microsoft estiment qu'au maximum, 2,6 millions d'internautes ont pu installer ces extensions malveillantes. L'entreprise présente ce chiffre comme un plafond et non comme un nombre de victimes confirmées. Selon l'éditeur, le code malveillant se dissimulait dans des fichiers image et police et ne s'activait qu'après plusieurs jours d'utilisation normale.
Un code embusqué dans des images
L'acteur derrière StegoAd publiait des extensions bel et bien fonctionnelles (bloqueurs de publicités, VPN, traducteurs, outils de téléchargement vidéo). L'idée était de n'éveiller aucun soupçon tout en récoltant des avis positifs avant toute activation malveillante. Le code restait inactif entre trois et cinq jours après l'installation, et l'extension prolongeait ce délai si elle détectait l'ouverture des outils de développement du navigateur. Les premières variantes cachaient leur charge dans l'icône PNG fournie. L'acteur a ensuite basculé vers des images WebP, puis vers des fichiers de police WOFF2, à mesure que la détection progressait.
Certaines variantes étaient plus poussées. Au lieu d'embarquer le payload, elles récupéraient une image en apparence normale depuis un serveur de commande. Cette dernière ne répondait qu'aux requêtes passant un contrôle d'empreinte et d'en-tête, et renvoyait une réponse vide à toute analyse directe. L'extension décodait ensuite ce contenu via plusieurs couches de transformations (inversion de casse, inversion de chiffres, Base64 puis XOR), vérifiait sa signature, puis exécutait le code obtenu. S'ouvrait alors une porte dérobée capable de lancer des commandes arbitraires à distance.
Comment fonctionnaient ces extensions vérolées
Dans les échantillons récupérés, Microsoft a identifié un vol d'identifiants Google avec les codes de double authentification, une collecte d'identifiants administrateur WordPress et une exfiltration de cookies de session. Les hackers y ont aussi dissimulé des outils de fraude publicitaire pour remplacer des annonces affichées, détourner les commissions d'affiliation sur Amazon, eBay et AliExpress, et rediriger les résultats de recherche.
L'infrastructure reposait sur plus de dix domaines de commande et de contrôle avec basculement automatique, relayés via Cloudflare et Github. 66 des 119 extensions reposaient sur le même socle technique qui a migré du format Manifest V2 vers V3 au fil du temps. D'après les chercheurs de Microsoft, le début de cette activité remonte à 2021. Le domaine d'exfiltration des identifiants semble recouper les précédentes découvertes de la société de cybersécurité Koi Security. Il s'agirait d'un acteur chinois surnommé DarkSpectre. Celui-ci a notamment orchestré la campagne ShadyPanda en fin d'année dernière, puis relancé une nouvelle vague d'extensions liées à GhostPoster.
Microsoft indique avoir supprimé les 119 extensions et suspendu plus de 90 comptes développeurs, la liste complète des identifiants figure dans son rapport technique (PDF). Si l'une d'entre elles ne vous est pas étrangère, vérifiez son identifiant dans edge://extensions et, le cas échéant, procédez à des changements de mots de passe sur vos comptes les plus sensibles en activant la double authentification.
