StegoAd : un malware caché dans 119 extensions Microsoft Edge

119 extensions malveillantes ont été retirées de la boutique d’extensions du navigateur Microsoft Edge. Leur point commun : un code malveillant dissimulé dans des images et des polices de caractères, qui ne se réveillait que plusieurs jours après l’installation sur une machine. Surnommée StegoAd, la campagne cumulait jusqu’à 2,6 millions d’installations et serait l’œuvre d’un seul et même groupe de pirates, actif depuis 2021 au moins. Voici ce que l’on sait.

L’équipe Microsoft Edge Extensions Security a récemment publié un rapport à propos d’une campagne surnommée StegoAd. Ce nom fait référence à deux techniques utilisées dans cette attaque : la stéganographie, l’art de cacher des données dans un fichier d’apparence anodine, et l’adware, la fraude à la publicité. Selon Microsoft, ces 119 extensions étaient distribuées via plus de 90 comptes de développeurs, tous suspendus désormais.

119 extensions, 2,6 millions d’installations : l’anatomie de StegoAd

Les extensions malveillantes ont été conçues pour sembler légitimes et inoffensives : bloqueurs de publicités, VPN, traducteurs, téléchargeurs de vidéos. Chacune de ces extensions remplissait réellement sa fonction, ce qui a permis de récolter des avis positifs et de ne pas éveiller les soupçons.

Il est à noter que l’activité malveillante est en veille durant les premiers jours suivant l’installation. D’après Microsoft, le code malveillant restait dormant tant qu’une série de prérequis n’était pas respectée :

  • Un délai d’attente de 3 à 5 jours après l’installation, suffisant pour passer sous le radar des environnements d’analyse automatisée (sandbox).
  • Une exécution probabiliste : le code ne se déclenchait pas systématiquement.
  • Une validation côté serveur des requêtes avant toute livraison de charge malveillante.
  • Une détection des outils de développement : si l’extension repérait l’ouverture des DevTools, elle prolongeait sa mise en veille.

Entre mars 2024 et avril 2026, ces extensions ont enregistré 2,6 millions d’installations, mais le nombre total de victimes reste incertain. En effet, en raison des conditions évoquées, la charge malveillante n’a jamais été exécutée pour de nombreuses installations.

L’analyse de Microsoft met en évidence plusieurs actions malveillantes effectuées sur les machines infectées. Il est notamment question de fraude publicitaire : injection de publicités, détournement de commissions d’affiliation sur des plateformes comme Amazon, eBay et AliExpress, ainsi que redirection des résultats de recherche.

Le malware présente également une porte dérobée permettant aux attaquants d’exécuter du code JavaScript à distance, ainsi que le vol d’identifiants, ciblant particulièrement les identifiants Google, les identifiants d’administration WordPress, et l’exfiltration de cookies pour le détournement de sessions.

Du code dissimulé dans des images et des polices de caractères

La stéganographie est utilisée pour glisser du code exécutable dans des fichiers images banals. Microsoft a identifié l’évolution de la technique utilisée par les attaquants en quatre étapes :

  • Icône PNG piégée : du JavaScript ajouté après le marqueur IEND de l’icône de l’extension.
  • PNG distant : une image récupérée depuis un serveur de commande et contrôle (C2), contenant la charge encodée.
  • Conteneurs WebP : utilisation d’un format que les règles d’analyse ne couvraient pas encore.
  • Polices WOFF2 : code dissimulé dans les fichiers de police.

Côté infrastructure, Microsoft décompte plus de dix domaines C2 avec bascule automatique, du trafic relayé via Cloudflare Workers et un détournement de GitHub Pages pour héberger des balises de suivi.

Cette mécanique rappelle d’autres campagnes, notamment GhostPoster, qui visait également plusieurs extensions malveillantes. Selon des sources, StegoAd partagerait des points communs avec GhostPoster, notamment des méthodes de dissimulation et des noms d’extensions identiques.

Êtes-vous concerné ? Les réflexes à adopter

La liste complète des identifiants des 119 extensions est disponible dans le rapport publié par Microsoft. Pour vérifier votre environnement, voici quelques étapes à suivre :

  • Ouvrir edge://extensions et comparer les extensions installées à la liste fournie par Microsoft.
  • En cas de correspondance ou si Edge a supprimé automatiquement une extension, considérer le navigateur comme compromis.
  • Réinitialiser les mots de passe des comptes sensibles : Google, WordPress, banque.
  • Passer en revue l’activité de connexion récente.
  • Activer une authentification à deux facteurs robuste.
Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *