Microsoft elimina 119 estensioni malware da Edge, la campagna StegoAd colpisce milioni di utenti

🛡️ Executive Summary

• Microsoft ha rimosso 119 estensioni malevole dallo store di Edge dopo aver individuato la campagna StegoAd, attiva almeno dal 2021.
• Le estensioni utilizzavano steganografia, payload polimorfici e infrastrutture distribuite per rubare credenziali, eseguire codice remoto e realizzare frodi pubblicitarie.
• L’azienda ha sospeso oltre 90 account sviluppatore, pubblicato indicatori di compromissione e rafforzato i controlli contro future campagne analoghe.

Microsoft ha smantellato una delle campagne più sofisticate mai individuate contro il proprio ecosistema di estensioni per browser, rimuovendo 119 componenti aggiuntivi dallo Microsoft Edge Add-ons Store. L’operazione, denominata StegoAd, ha permesso di interrompere un’infrastruttura malevola attiva almeno dal 2021, capace di raggiungere fino a 2,6 milioni di installazioni nel corso degli anni. Le estensioni si presentavano come strumenti perfettamente legittimi, proponendo funzionalità quali blocco della pubblicità, servizi VPN, traduzione automatica, download di video e utility per la produttività. Dietro queste funzioni apparentemente innocue si nascondeva però un’infrastruttura progettata per sottrarre credenziali, distribuire codice remoto ed effettuare frodi pubblicitarie sfruttando tecniche avanzate di steganografia, evasione e polimorfismo.

StegoAd sfruttava immagini e font per nascondere il malware

La caratteristica più innovativa della campagna riguarda l’utilizzo sistematico della steganografia, tecnica che consente di occultare dati all’interno di file apparentemente innocui. Nelle prime versioni gli attaccanti inserivano il codice JavaScript dopo il marcatore IEND presente nei file PNG utilizzati come icone delle estensioni. In questo modo il browser continuava a visualizzare normalmente l’immagine mentre il payload rimaneva invisibile agli strumenti di analisi più superficiali. Con l’evoluzione della campagna i criminali hanno iniziato a utilizzare immagini WebP e successivamente file di font WOFF2, nei quali il codice veniva distribuito all’interno di glifi Unicode oppure nascosto nei metadati del font, rendendo ancora più difficile l’identificazione da parte degli scanner automatici.

Prima dell’esecuzione il payload attraversava numerosi livelli di trasformazione, comprendenti sostituzioni di caratteri, inversioni tra lettere maiuscole e minuscole, codifiche Base64 multiple e operazioni XOR, così da ricostruire il codice solamente in memoria. A questo sistema si aggiungevano sofisticate tecniche di evasione che prevedevano ritardi di diversi giorni dall’installazione dell’estensione, verifiche effettuate attraverso server remoti e controlli progettati per rilevare l’apertura degli strumenti di sviluppo del browser. Solo dopo aver superato tutti questi passaggi il malware entrava realmente in funzione, riducendo drasticamente le probabilità di essere individuato durante i controlli iniziali dello store.

Framework polimorfico e infrastruttura distribuita

Microsoft ha identificato un framework estremamente flessibile capace di generare decine di varianti differenti mantenendo sostanzialmente inalterata la logica del malware. Almeno 66 estensioni condividevano questa architettura, distribuita attraverso oltre 15 differenti famiglie di nomi, rendendo complesso collegare immediatamente le varie componenti a un’unica campagna. Gli sviluppatori hanno inoltre sfruttato il passaggio da Manifest V2 a Manifest V3 per adattare il codice ai nuovi requisiti dei browser e aggirare alcuni sistemi di rilevamento.

L’infrastruttura di comando comprendeva oltre dieci domini Command and Control, configurati con sistemi di failover automatico per garantire la continuità operativa anche in caso di blocco di uno o più server. Parte delle comunicazioni transitava attraverso Cloudflare Workers, mentre GitHub Pages veniva utilizzato per ospitare beacon e componenti apparentemente legittimi. Gli investigatori hanno inoltre individuato l’utilizzo di sette identificativi Google Analytics sfruttati impropriamente per raccogliere informazioni di telemetria senza destare sospetti, dimostrando un notevole livello di pianificazione dell’intera operazione.

Dal furto di credenziali al controllo remoto del browser

Una volta attivato, il malware metteva a disposizione degli operatori una vera e propria backdoor capace di eseguire codice JavaScript arbitrario direttamente nel contesto del browser compromesso. Questa funzionalità consentiva agli attaccanti di modificare dinamicamente il comportamento dell’estensione senza dover distribuire nuovi aggiornamenti, trasformando il browser della vittima in una piattaforma di accesso remoto persistente. Tra gli obiettivi principali figurava il furto delle credenziali degli account Google. Il malware intercettava username, password e codici di autenticazione a due fattori durante il processo di accesso a accounts.google.com, codificando successivamente i dati attraverso più livelli Base64 prima dell’invio ai server controllati dagli attaccanti. Venivano inoltre raccolti i cookie di autenticazione per facilitare il dirottamento delle sessioni già aperte senza dover necessariamente conoscere la password della vittima. Le estensioni erano inoltre progettate per individuare pannelli di amministrazione WordPress e altri sistemi CMS, sottraendo le credenziali degli amministratori soprattutto quando i siti risultavano particolarmente popolari. Per selezionare gli obiettivi economicamente più interessanti venivano sfruttati anche servizi di analisi del traffico come SimilarWeb, concentrando gli sforzi sui portali capaci di generare maggiori profitti.

Frodi pubblicitarie e commissioni affiliate sottratte agli utenti

La campagna non si limitava al furto di credenziali. Diverse varianti implementavano sofisticati sistemi di ad fraud, sostituendo gli annunci pubblicitari visualizzati nei siti web con inserzioni controllate dagli operatori della campagna. In altri casi il malware modificava automaticamente i collegamenti commerciali presenti durante gli acquisti online, sostituendo gli identificativi di affiliazione originali con quelli degli attaccanti su piattaforme come Amazon, eBay e AliExpress.

Microsoft ha inoltre osservato attività riconducibili al sabotaggio di estensioni concorrenti dedicate al cashback e ai programmi di affiliazione, compresa la manipolazione di componenti come Honey, con l’obiettivo di intercettare commissioni commerciali spettanti ad altri operatori. Questa capacità dimostra come StegoAd non fosse soltanto una piattaforma di spionaggio, ma un’infrastruttura criminale estremamente versatile, progettata per monetizzare ogni possibile opportunità offerta dal browser della vittima.

Fino a 2,6 milioni di installazioni e una minaccia ancora evolutiva

Secondo le stime di Microsoft, tra marzo 2024 e aprile 2026 le estensioni riconducibili a StegoAd hanno raggiunto fino a 2,6 milioni di installazioni complessive. Non tutti gli utenti sono stati necessariamente compromessi, poiché molte estensioni rimanevano inattive per lunghi periodi e attivavano il payload soltanto dopo aver verificato specifiche condizioni operative. Tuttavia il numero di potenziali vittime dimostra l’efficacia della strategia adottata dagli attaccanti, che puntavano prima a costruire una reputazione positiva nello store attraverso funzionalità realmente funzionanti e recensioni favorevoli, per poi introdurre gradualmente il comportamento malevolo.

Le analisi condotte dagli esperti collegano inoltre StegoAd ad altre campagne già osservate negli ultimi anni, tra cui DarkSpectre, ShadyPanda e GhostPoster, suggerendo l’esistenza di attori che condividono infrastrutture, tecniche di evasione e strumenti di sviluppo. Sebbene Microsoft abbia interrotto questa specifica operazione, il gruppo responsabile continua a essere considerato attivo e in grado di sviluppare nuove varianti.

Microsoft rafforza Edge e invita a controllare le estensioni installate

Per contrastare la minaccia Microsoft ha rimosso tutte le 119 estensioni identificate, sospeso oltre 90 account sviluppatore utilizzati per pubblicarle e implementato nuovi sistemi di rilevamento progettati per individuare tecniche di steganografia e codice polimorfico. Gli utenti interessati hanno ricevuto notifiche direttamente all’interno di Microsoft Edge, mentre l’azienda ha pubblicato un elenco completo degli Indicatori di Compromissione (IoC), consentendo anche ad altri produttori di browser e soluzioni di sicurezza di aggiornare i propri sistemi di difesa. L’episodio dimostra come anche gli store ufficiali possano essere sfruttati per distribuire codice malevolo quando gli attaccanti investono tempo nella costruzione di estensioni apparentemente affidabili. Per questo Microsoft raccomanda di verificare periodicamente le estensioni installate, eliminare quelle non più utilizzate, controllare attentamente i permessi richiesti e mantenere sempre aggiornato il browser. La campagna StegoAd rappresenta un nuovo esempio di come le estensioni stiano diventando uno dei vettori di attacco più sofisticati dell’ecosistema web, imponendo un’evoluzione continua delle tecniche di analisi e delle strategie di difesa adottate dai gestori delle piattaforme.