Cómo 119 extensiones maliciosas convirtieron la tienda de complementos de Edge en una plataforma de despliegue

Una extensión de navegador estándar es un pequeño paquete de confianza. Los usuarios instalan bloqueadores de anuncios y VPN con la expectativa de que estas herramientas trabajen para ellos, no en su contra. Microsoft desmanteló recientemente una operación masiva que invirtió esta relación. La campaña, denominada StegoAd, involucró 119 extensiones maliciosas en la tienda de complementos de Microsoft Edge. Estas extensiones permanecieron activas durante años, alcanzando una base de instalación combinada de 2,6 millones de usuarios. La operación es una clase magistral de evasión, utilizando esteganografía para ocultar cargas útiles maliciosas dentro de los mismos archivos que hacen que la web se vea y se sienta correctamente.

Desde una perspectiva de riesgo, la escala de la exposición es significativa. Aunque Microsoft señala que 2,6 millones es un límite superior y no un recuento de víctimas confirmado, la sofisticación arquitectónica de StegoAd sugiere un nivel profesional de planificación. Las extensiones cumplían exactamente lo que prometían. Bloqueaban anuncios, traducían texto y descargaban videos. Obtuvieron reseñas positivas. Detrás de escena, sin embargo, esperaban un conjunto específico de condiciones para activar un ciclo de vida secundario y malicioso. Se trató de un ataque paciente, diseñado para eludir los escáneres automatizados que vigilan los ecosistemas de navegadores modernos.

La arquitectura de una infección de combustión lenta

Rastrear la cadena de ataque hacia atrás revela un enfoque metódico hacia la latencia. El actor de StegoAd entendió que la actividad maliciosa inmediata es una sentencia de muerte para una extensión de navegador. La mayoría de las 119 extensiones permanecieron benignas durante varios días después de la instalación. Esta demora es una táctica común, pero el actor fue más allá. Implementaron una pila de verificaciones de evasión para asegurar que la extensión solo se activara en la máquina de un usuario real.

Una verificación buscaba la presencia de las herramientas de desarrollo (DevTools) del navegador. Si un analista abría el inspector para ver qué estaba haciendo la extensión, el código notaba el cambio y extendía su período de latencia. Esto ocultó efectivamente el comportamiento de cualquiera que lo buscara. Hablando proactivamente, el actor también utilizó una compuerta de ejecución del 10% en ciertas variantes. Esto significa que solo una de cada diez instalaciones activaba realmente la carga útil. Para un investigador de seguridad que intentara reproducir un error reportado, el malware simplemente no aparecería.

Esta ejecución selectiva convirtió la base de usuarios en un banco de pruebas masivo y descentralizado. El actor podía refinar sus scripts y métodos de exfiltración en un pequeño subconjunto de usuarios mientras el otro 90% proporcionaba un escudo de actividad legítima y altas calificaciones. Las extensiones incluso migraron de Manifest V2 a Manifest V3 a medida que la plataforma Chromium evolucionaba. Esto muestra un compromiso a largo plazo para mantener el acceso a la base de usuarios de Edge.

Cómo la esteganografía convirtió los iconos en armas

El núcleo de la campaña es la esteganografía, la práctica de ocultar datos dentro de otros datos. El actor utilizó imágenes y archivos de fuentes como portadores de sus cargas útiles de JavaScript. En las versiones más tempranas de StegoAd, el malware se añadía después del marcador IEND de un icono PNG. Este marcador le indica a un visor de imágenes que el archivo ha terminado. Cualquier cosa después de ese marcador es ignorada por el renderizador pero permanece accesible para un script. Para un escáner estático, el archivo parece un icono válido e inofensivo.

A medida que las herramientas de detección mejoraron, el actor de la amenaza se adaptó. Movieron sus cargas útiles a imágenes WebP y archivos de fuentes WOFF2. Los archivos WOFF2 son fuentes web comprimidas que contienen rangos de glifos y metadatos. El actor ocultó código dentro de estos rangos, haciendo que la carga útil pareciera texto asiático o métricas de fuentes. Microsoft describe la esteganografía a esta escala como rara en el espacio de las extensiones de navegador. Es una técnica de alto esfuerzo que requiere que el atacante elabore o modifique manualmente archivos multimedia para asegurar que sigan funcionando mientras transportan un polizón cifrado.

En algunas variantes de alto impacto, la carga útil ni siquiera estaba presente en los archivos locales de la extensión. La extensión obtenía una imagen de apariencia normal desde un servidor de comando y control. Una vez descargada, la extensión decodificaba la imagen a través de múltiples capas de intercambio de mayúsculas y minúsculas, intercambio de dígitos, codificación Base64 y operaciones XOR. Luego verificaba el script resultante contra una firma digital antes de la ejecución. Este proceso asegura que la lógica maliciosa nunca se almacene en el disco en un formato legible.

Protegiendo la infraestructura de comando y control

La infraestructura de back-end para StegoAd era tan resistente como las extensiones de front-end. El actor utilizó más de diez dominios de comando y control con capacidades de conmutación por error automática. Si un dominio era bloqueado o dado de baja, las extensiones se comunicaban automáticamente con uno de respaldo. Para ocultar aún más su tráfico, los operadores enviaban sus solicitudes a través de Cloudflare Workers. Esto hacía que el tráfico malicioso pareciera llamadas de API legítimas a un proveedor de nube de buena reputación.

La validación del lado del servidor actuaba como un portero de club VIP en cada puerta. Cuando una extensión solicitaba una carga útil, el servidor verificaba la huella digital del navegador y la cadena User-Agent. Si la solicitud provenía de un entorno de investigación conocido o de un sandbox automatizado, el servidor devolvía una respuesta señuelo vacía. He visto este nivel de paranoia en actores de amenazas persistentes avanzadas, pero es menos común en campañas de adware. Esto sugiere que el operador estaba altamente motivado para proteger su conjunto de herramientas del descubrimiento.

GitHub Pages fue otra herramienta en el kit del actor. Utilizaron la plataforma para alojar balizas (beacons), proporcionando un dominio confiable y fiable para que las extensiones verificaran actualizaciones. Al abusar de la infraestructura legítima, los operadores de StegoAd aseguraron que su tráfico se mezclara con el ruido de fondo de una red corporativa o doméstica típica. Detectar este tráfico requiere más que una simple lista de IPs maliciosas; requiere un análisis de comportamiento de cómo interactúa una extensión con la web.

El fraude publicitario como cortina de humo para la exfiltración de datos

La parte más visible de la infección de StegoAd fue el fraude publicitario. Las extensiones inyectaban anuncios en páginas web, secuestraban comisiones de afiliados en sitios como Amazon y eBay, y redirigían consultas de búsqueda. Esta es la parte ruidosa del malware, diseñada para generar ingresos inmediatos. Sin embargo, el análisis técnico post-mortem realizado por Microsoft reveló un conjunto de capacidades mucho más oscuro oculto bajo la superficie.

La recuperación de las cargas útiles mostró que el actor tenía capacidades de ejecución remota de código. Podían enviar JavaScript arbitrario desde el servidor a cualquier navegador infectado. Esto les permitía recolectar credenciales de Google y códigos de segundo factor durante el proceso de inicio de sesión. También se dirigieron a inicios de sesión de administración de WordPress y exfiltraron cookies de forma masiva. Desde una perspectiva arquitectónica, las cookies de sesión son un activo tóxico si caen en las manos equivocadas. Un atacante con una cookie de sesión fresca puede eludir el MFA por completo y entrar directamente en la cuenta de un usuario.

La telemetría de la campaña se gestionó a través de siete IDs de seguimiento de Google Analytics. Esto le dio al operador un panel de control en tiempo real de su progreso utilizando la propia infraestructura analítica de Google. Podían ver qué extensiones estaban funcionando bien, qué países tenían las instalaciones más activas y dónde se estaban ejecutando con éxito sus cargas útiles. El nivel de inteligencia operativa aquí es profesional e indica un modelo de negocio optimizado.

La conexión china y DarkSpectre

Microsoft no ha nombrado oficialmente al actor detrás de StegoAd, pero los indicadores técnicos apuntan hacia un grupo de actividad conocido. La carga útil de robo de credenciales exfiltra datos a un dominio llamado mitarchive.info. Investigadores de seguridad han vinculado anteriormente este dominio con una operación china conocida como DarkSpectre. Este grupo también está asociado con las campañas ShadyPanda y GhostPoster, que utilizaron tácticas similares para distribuir extensiones maliciosas.

La superposición es más que un solo dominio. StegoAd utilizó exactamente el mismo método de ocultar código dentro del propio icono de una extensión que GhostPoster utilizó meses antes. Incluso compartían las mismas convenciones de nomenclatura para sus extensiones, como Ads Block Ultimate. Esto sugiere que StegoAd es la última evolución de una operación china de larga duración que trata al ecosistema de extensiones de navegador como un teatro de operaciones primario. Los operadores son ágiles, moviéndose de una plataforma a otra a medida que los defensores se ponen al día.

Evaluando la superficie de ataque y tomando medidas

Microsoft ha eliminado las 119 extensiones y ha suspendido las cuentas de desarrollador, pero el peligro persiste para los usuarios que aún tienen estas herramientas instaladas. Debido a que algunas de estas extensiones eran altamente funcionales, es posible que los usuarios ni siquiera se den cuenta de que están comprometidos. Si utiliza Edge, su primer paso es visitar edge://extensions y auditar su lista. Compare sus IDs instalados con la lista proporcionada en el informe técnico de Microsoft.

En caso de una coincidencia, el entorno del navegador está comprometido. Eliminar la extensión es solo el primer paso. Debe asumir que sus cookies de sesión y credenciales están en manos del grupo DarkSpectre. Cambie sus contraseñas para cuentas de alto valor, incluyendo Google, su banco y cualquier portal relacionado con el trabajo como WordPress. Revise su actividad reciente de inicio de sesión para detectar ubicaciones o dispositivos no reconocidos.

Observando el panorama de amenazas, este incidente resalta el fracaso de la revisión tradicional de extensiones. El análisis estático ya no es suficiente para atrapar a los actores que utilizan esteganografía y validación del lado del servidor. Hablando proactivamente, la mejor defensa es un navegador ligero. Solo instale extensiones que sean absolutamente necesarias y provengan de desarrolladores verificados y de buena reputación. Utilice llaves de seguridad de hardware para MFA siempre que sea posible. A diferencia de los códigos SMS o las notificaciones push, una llave de hardware requiere una interacción física que un script basado en extensiones no puede replicar fácilmente.

Conclusiones clave para la seguridad del navegador

• Audite sus extensiones: Verifique regularmente edge://extensions o chrome://extensions y elimine cualquier cosa que no use.
• Esté atento a la demora: Desconfíe de las extensiones que cambian repentinamente de comportamiento o solicitan nuevos permisos días después de la instalación.
• Verifique al desarrollador: Los actores maliciosos a menudo usan nombres genéricos o imitan herramientas populares. Verifique el historial y el sitio web del desarrollador.
• Use MFA de hardware: Las llaves de seguridad físicas son la defensa más resistente contra el tipo de robo de credenciales y sesiones visto en StegoAd.
• Monitoree los inicios de sesión: Revise los paneles de seguridad de sus cuentas principales para detectar sesiones que no deberían existir.

Fuentes: Microsoft Security Blog, NIST SP 800-53 (Control Assessment), MITRE ATT&CK (T1027.003 - Steganography), Koi Security Research Reports.

Descargo de responsabilidad: Este artículo es solo para fines informativos y educativos y no reemplaza una auditoría de ciberseguridad profesional o un servicio de respuesta ante incidentes.