Comment 119 extensions malveillantes ont transformé le magasin de modules complémentaires Edge en zone de transit

Une extension de navigateur standard est un petit gage de confiance. Les utilisateurs installent des bloqueurs de publicités et des VPN avec l'espoir que ces outils travaillent pour eux, et non contre eux. Microsoft a récemment démantelé une opération massive qui a inversé cette relation. La campagne, baptisée StegoAd, impliquait 119 extensions malveillantes sur le magasin Microsoft Edge Add-ons. Ces extensions sont restées actives pendant des années, atteignant une base d'installation combinée de 2,6 millions d'utilisateurs. L'opération est un modèle d'évasion, utilisant la stéganographie pour dissimuler des charges utiles malveillantes à l'intérieur même des fichiers qui assurent le bon aspect visuel et fonctionnel du web.

Du point de vue du risque, l'ampleur de l'exposition est significative. Bien que Microsoft note que 2,6 millions est une limite supérieure et non un nombre de victimes confirmées, la sophistication architecturale de StegoAd suggère un niveau de planification professionnel. Les extensions faisaient exactement ce qu'elles promettaient : elles bloquaient les publicités, traduisaient du texte et téléchargeaient des vidéos. Elles ont obtenu des avis positifs. En coulisses, cependant, elles attendaient un ensemble spécifique de conditions pour déclencher un cycle de vie malveillant secondaire. Il s'agissait d'une attaque patiente, conçue pour contourner les scanners automatisés qui filtrent les écosystèmes de navigateurs modernes.

L'architecture d'une infection à combustion lente

Remonter la chaîne d'attaque révèle une approche méthodique de la dormance. L'acteur de StegoAd a compris qu'une activité malveillante immédiate est une condamnation à mort pour une extension de navigateur. La plupart des 119 extensions sont restées bénignes pendant plusieurs jours après l'installation. Ce délai est une tactique courante, mais l'acteur est allé plus loin. Il a mis en œuvre une série de vérifications d'évasion pour s'assurer que l'extension ne se réveille que sur la machine d'un utilisateur réel.

Une vérification cherchait la présence des outils de développement (DevTools) du navigateur. Si un analyste ouvrait l'inspecteur pour voir ce que faisait l'extension, le code remarquait le changement et prolongeait sa période de dormance. Cela a efficacement caché le comportement à quiconque le cherchait. De manière proactive, l'acteur a également utilisé une barrière d'exécution de 10 % sur certaines variantes. Cela signifie qu'une seule installation sur dix déclenchait réellement la charge utile. Pour un chercheur en sécurité tentant de reproduire un bug signalé, le malware n'apparaissait tout simplement pas.

Cette exécution sélective a transformé la base d'utilisateurs en un banc d'essai massif et décentralisé. L'acteur pouvait affiner ses scripts et ses méthodes d'exfiltration sur un petit sous-ensemble d'utilisateurs tandis que les 90 % restants fournissaient un bouclier d'activité légitime et des notes élevées. Les extensions ont même migré de Manifest V2 vers Manifest V3 à mesure que la plateforme Chromium évoluait. Cela montre un engagement à long terme pour maintenir l'accès à la base d'utilisateurs d'Edge.

Comment la stéganographie a transformé les icônes en armes

Le cœur de la campagne est la stéganographie, la pratique consistant à cacher des données à l'intérieur d'autres données. L'acteur a utilisé des images et des fichiers de police comme porteurs pour ses charges utiles JavaScript. Dans les premières versions de StegoAd, le malware était ajouté après le marqueur IEND d'une icône PNG. Ce marqueur indique à un visualiseur d'images que le fichier est terminé. Tout ce qui suit ce marqueur est ignoré par le moteur de rendu mais reste accessible à un script. Pour un scanner statique, le fichier ressemble à une icône valide et inoffensive.

À mesure que les outils de détection s'amélioraient, l'acteur malveillant s'est adapté. Il a déplacé ses charges utiles dans des images WebP et des fichiers de police WOFF2. Les fichiers WOFF2 sont des polices web compressées qui contiennent des plages de glyphes et des métadonnées. L'acteur a caché du code dans ces plages, faisant ressembler la charge utile à du texte asiatique ou à des métriques de police. Microsoft décrit la stéganographie à cette échelle comme rare dans le domaine des extensions de navigateur. C'est une technique exigeante qui nécessite que l'attaquant conçoive ou modifie manuellement des fichiers multimédias pour s'assurer qu'ils fonctionnent toujours tout en transportant un passager clandestin chiffré.

Dans certaines variantes à fort impact, la charge utile n'était même pas présente dans les fichiers locaux de l'extension. L'extension récupérait une image d'apparence normale depuis un serveur de commande et de contrôle (C2). Une fois téléchargée, l'extension décodait l'image via plusieurs couches d'inversions de casse, d'échanges de chiffres, d'encodage Base64 et d'opérations XOR. Elle vérifiait ensuite le script résultant par rapport à une signature numérique avant l'exécution. Ce processus garantit que la logique malveillante n'est jamais stockée sur le disque dans un format lisible.

Protéger l'infrastructure de commande et de contrôle

L'infrastructure dorsale de StegoAd était tout aussi résiliente que les extensions frontales. L'acteur a utilisé plus de dix domaines de commande et de contrôle avec des capacités de basculement automatique. Si un domaine était bloqué ou supprimé, les extensions contactaient automatiquement une sauvegarde. Pour masquer davantage leur trafic, les opérateurs faisaient passer leurs requêtes par des Cloudflare Workers. Cela donnait au trafic malveillant l'apparence d'appels API légitimes vers un fournisseur de cloud réputé.

La validation côté serveur agissait comme un videur de club VIP à chaque porte. Lorsqu'une extension demandait une charge utile, le serveur vérifiait l'empreinte numérique du navigateur et la chaîne User-Agent. Si la requête provenait d'un environnement de recherche connu ou d'un bac à sable (sandbox) automatisé, le serveur renvoyait une réponse leurre vide. J'ai déjà observé ce niveau de paranoïa chez des acteurs de menaces persistantes avancées (APT), mais c'est moins courant dans les campagnes de logiciels publicitaires (adware). Cela suggère que l'opérateur était hautement motivé pour protéger sa boîte à outils contre la découverte.

GitHub Pages était un autre outil dans l'arsenal de l'acteur. Ils ont utilisé la plateforme pour héberger des balises (beacons), fournissant un domaine fiable et de confiance pour que les extensions vérifient les mises à jour. En abusant d'infrastructures légitimes, les opérateurs de StegoAd se sont assurés que leur trafic se fondait dans le bruit de fond d'un réseau d'entreprise ou domestique typique. La détection de ce trafic nécessite plus qu'une simple liste d'adresses IP malveillantes ; elle nécessite une analyse comportementale de la manière dont une extension interagit avec le web.

La fraude publicitaire comme écran de fumée pour l'exfiltration de données

La partie la plus visible de l'infection StegoAd était la fraude publicitaire. Les extensions injectaient des publicités dans les pages web, détournaient des commissions d'affiliation sur des sites comme Amazon et eBay, et redirigeaient les requêtes de recherche. C'est la partie bruyante du malware, conçue pour générer des revenus immédiats. Cependant, l'autopsie technique menée par Microsoft a révélé un ensemble de capacités beaucoup plus sombres cachées sous la surface.

La récupération des charges utiles a montré que l'acteur disposait de capacités d'exécution de code à distance. Il pouvait envoyer n'importe quel JavaScript arbitraire depuis le serveur vers n'importe quel navigateur infecté. Cela lui permettait de récolter des identifiants Google et des codes de deuxième facteur lors du processus de connexion. Ils ont également ciblé les connexions administrateur WordPress et exfiltré des cookies en masse. D'un point de vue architectural, les cookies de session sont un actif toxique s'ils tombent entre de mauvaises mains. Un attaquant disposant d'un cookie de session récent peut contourner entièrement l'authentification multi-facteurs (MFA) et accéder directement au compte d'un utilisateur.

La télémétrie de la campagne était gérée via sept identifiants de suivi Google Analytics. Cela donnait à l'opérateur un tableau de bord en temps réel de sa progression en utilisant l'infrastructure d'analyse de Google. Il pouvait voir quelles extensions étaient performantes, quels pays comptaient le plus d'installations actives et où leurs charges utiles s'exécutaient avec succès. Le niveau d'intelligence opérationnelle ici est professionnel et indique un modèle commercial rationalisé.

La connexion chinoise et DarkSpectre

Microsoft n'a pas officiellement nommé l'acteur derrière StegoAd, mais les indicateurs techniques pointent vers un groupe d'activité connu. La charge utile de vol d'identifiants exfiltre les données vers un domaine appelé mitarchive.info. Des chercheurs en sécurité ont précédemment lié ce domaine à une opération chinoise connue sous le nom de DarkSpectre. Ce groupe est également associé aux campagnes ShadyPanda et GhostPoster, qui utilisaient des tactiques similaires pour distribuer des extensions malveillantes.

Le chevauchement ne se limite pas à un seul domaine. StegoAd a utilisé exactement la même méthode de dissimulation de code à l'intérieur de l'icône de l'extension que GhostPoster utilisait des mois auparavant. Ils partageaient même les mêmes conventions de nommage pour leurs extensions, comme Ads Block Ultimate. Cela suggère que StegoAd est la dernière évolution d'une opération chinoise de longue date qui traite l'écosystème des extensions de navigateur comme un théâtre d'opérations principal. Les opérateurs sont agiles, passant d'une plateforme à l'autre à mesure que les défenseurs rattrapent leur retard.

Évaluer la surface d'attaque et agir

Microsoft a supprimé les 119 extensions et suspendu les comptes de développeurs, mais le danger persiste pour les utilisateurs qui possèdent encore ces outils. Comme certaines de ces extensions étaient très fonctionnelles, les utilisateurs pourraient même ne pas se rendre compte qu'ils sont compromis. Si vous utilisez Edge, votre première étape consiste à visiter edge://extensions et à auditer votre liste. Comparez vos identifiants installés avec la liste fournie dans le rapport technique de Microsoft.

En cas de correspondance, l'environnement du navigateur est compromis. La suppression de l'extension n'est que la première étape. Vous devez supposer que vos cookies de session et vos identifiants sont entre les mains du groupe DarkSpectre. Changez vos mots de passe pour les comptes de haute valeur, y compris Google, votre banque et tout portail professionnel comme WordPress. Examinez votre activité de connexion récente pour détecter tout lieu ou appareil non reconnu.

En observant le paysage des menaces, cet incident met en évidence l'échec de l'examen traditionnel des extensions. L'analyse statique ne suffit plus pour arrêter les acteurs qui utilisent la stéganographie et la validation côté serveur. De manière proactive, la meilleure défense est un navigateur épuré. N'installez que les extensions absolument nécessaires et provenant de développeurs vérifiés et réputés. Utilisez des clés de sécurité matérielles pour la MFA chaque fois que possible. Contrairement aux codes SMS ou aux notifications push, une clé matérielle nécessite une interaction physique qu'un script basé sur une extension ne peut pas facilement reproduire.

Points clés pour la sécurité du navigateur

• Auditez vos extensions : Vérifiez régulièrement edge://extensions ou chrome://extensions et supprimez tout ce que vous n'utilisez pas.
• Surveillez les délais : Soyez méfiant vis-à-vis des extensions qui changent soudainement de comportement ou demandent de nouvelles autorisations plusieurs jours après l'installation.
• Vérifiez le développeur : Les acteurs malveillants utilisent souvent des noms génériques ou imitent des outils populaires. Vérifiez l'historique et le site web du développeur.
• Utilisez une MFA matérielle : Les clés de sécurité physiques sont la défense la plus résiliente contre le type de vol d'identifiants et de sessions observé dans StegoAd.
• Surveillez les connexions : Vérifiez les tableaux de bord de sécurité de vos principaux comptes pour détecter des sessions suspectes.

Sources : Microsoft Security Blog, NIST SP 800-53 (Control Assessment), MITRE ATT&CK (T1027.003 - Steganography), Koi Security Research Reports.

Avertissement : Cet article est fourni à des fins d'information et d'éducation uniquement et ne remplace pas un audit de cybersécurité professionnel ou un service de réponse aux incidents.