Come 119 estensioni malevole hanno trasformato lo store degli add-on di Edge in una base operativa

Una normale estensione del browser è un piccolo pacchetto di fiducia. Gli utenti installano ad blocker e VPN con l'aspettativa che questi strumenti lavorino per loro, non contro di loro. Microsoft ha recentemente smantellato una massiccia operazione che ha invertito questo rapporto. La campagna, soprannominata StegoAd, ha coinvolto 119 estensioni malevole sul Microsoft Edge Add-ons store. Queste estensioni sono rimaste attive per anni, raggiungendo una base di installazione combinata di 2,6 milioni di utenti. L'operazione è una lezione magistrale di evasione, che utilizza la steganografia per nascondere payload malevoli all'interno dei file stessi che rendono il web corretto nell'aspetto e nel funzionamento.

Dal punto di vista del rischio, la scala dell'esposizione è significativa. Sebbene Microsoft noti che 2,6 milioni sia un limite massimo e non un conteggio confermato delle vittime, la sofisticatezza architettonica di StegoAd suggerisce un livello professionale di pianificazione. Le estensioni facevano esattamente ciò che promettevano. Bloccavano gli annunci, traducevano testi e scaricavano video. Hanno ottenuto recensioni positive. Dietro le quinte, tuttavia, attendevano una serie specifica di condizioni per innescare un ciclo di vita secondario e malevolo. Si è trattato di un attacco paziente, progettato per bypassare gli scanner automatizzati che sorvegliano i moderni ecosistemi dei browser.

L'architettura di un'infezione a combustione lenta

Ripercorrendo a ritroso la catena dell'attacco emerge un approccio metodico alla dormienza. L'attore dietro StegoAd ha compreso che l'attività malevola immediata è una condanna a morte per un'estensione del browser. La maggior parte delle 119 estensioni è rimasta benigna per diversi giorni dopo l'installazione. Questo ritardo è una tattica comune, ma l'attore è andato oltre. Hanno implementato una serie di controlli di evasione per garantire che l'estensione si attivasse solo sulla macchina di un utente reale.

Un controllo cercava la presenza dei DevTools del browser. Se un analista apriva l'ispettore per vedere cosa stesse facendo l'estensione, il codice notava il cambiamento ed estendeva il suo periodo di dormienza. Questo ha nascosto efficacemente il comportamento a chiunque lo cercasse. Parlando proattivamente, l'attore ha anche utilizzato un gate di esecuzione del 10% su alcune varianti. Ciò significa che solo una installazione su dieci attivava effettivamente il payload. Per un ricercatore di sicurezza che cercasse di riprodurre un bug segnalato, il malware semplicemente non appariva.

Questa esecuzione selettiva ha trasformato la base utenti in un enorme banco di prova decentralizzato. L'attore poteva perfezionare i propri script e metodi di esfiltrazione su un piccolo sottoinsieme di utenti, mentre l'altro 90% forniva uno scudo di attività legittima e valutazioni elevate. Le estensioni sono persino migrate da Manifest V2 a Manifest V3 con l'evolversi della piattaforma Chromium. Ciò dimostra un impegno a lungo termine nel mantenere l'accesso alla base utenti di Edge.

Come la steganografia ha trasformato le icone in armi

Il cuore della campagna è la steganografia, la pratica di nascondere dati all'interno di altri dati. L'attore ha utilizzato immagini e file di font come vettori per i propri payload JavaScript. Nelle prime versioni di StegoAd, il malware veniva aggiunto dopo il marcatore IEND di un'icona PNG. Questo marcatore indica a un visualizzatore di immagini che il file è terminato. Qualsiasi cosa dopo quel marcatore viene ignorata dal renderer ma rimane accessibile a uno script. Per uno scanner statico, il file appare come un'icona valida e innocua.

Con il miglioramento degli strumenti di rilevamento, l'attore della minaccia si è adattato. Hanno spostato i loro payload in immagini WebP e file di font WOFF2. I file WOFF2 sono font web compressi che contengono intervalli di glifi e metadati. L'attore ha nascosto il codice all'interno di questi intervalli, facendo apparire il payload come testo asiatico o metriche dei font. Microsoft descrive la steganografia a questa scala come rara nel settore delle estensioni per browser. È una tecnica ad alto impegno che richiede all'attaccante di creare o modificare manualmente i file multimediali per garantire che funzionino ancora mentre trasportano un passeggero clandestino crittografato.

In alcune varianti ad alto impatto, il payload non era nemmeno presente nei file locali dell'estensione. L'estensione recuperava un'immagine dall'aspetto normale da un server di comando e controllo (C2). Una volta scaricata, l'estensione decodificava l'immagine attraverso molteplici livelli di scambi di maiuscole/minuscole, scambi di cifre, codifica Base64 e operazioni XOR. Verificava quindi lo script risultante rispetto a una firma digitale prima dell'esecuzione. Questo processo garantisce che la logica malevola non venga mai memorizzata sul disco in un formato leggibile.

Proteggere l'infrastruttura di comando e controllo

L'infrastruttura back-end per StegoAd era resiliente quanto le estensioni front-end. L'attore ha utilizzato più di dieci domini di comando e controllo con capacità di failover automatico. Se un dominio veniva bloccato o abbattuto, le estensioni contattavano automaticamente un backup. Per nascondere ulteriormente il traffico, gli operatori hanno convogliato le loro richieste attraverso Cloudflare Workers. Ciò ha fatto apparire il traffico malevolo come chiamate API legittime a un fornitore cloud affidabile.

La validazione lato server agiva come un buttafuori di un club VIP a ogni porta. Quando un'estensione richiedeva un payload, il server controllava il fingerprint del browser e la stringa User-Agent. Se la richiesta proveniva da un ambiente di ricerca noto o da una sandbox automatizzata, il server restituiva una risposta esca vuota. Ho visto questo livello di paranoia in attori di minacce persistenti avanzate (APT), ma è meno comune nelle campagne adware. Ciò suggerisce che l'operatore fosse altamente motivato a proteggere il proprio toolkit dalla scoperta.

GitHub Pages è stato un altro strumento nel kit dell'attore. Hanno usato la piattaforma per ospitare beacon, fornendo un dominio affidabile e sicuro per le estensioni per verificare la presenza di aggiornamenti. Abusando di infrastrutture legittime, gli operatori di StegoAd hanno garantito che il loro traffico si mimetizzasse nel rumore di fondo di una tipica rete aziendale o domestica. Rilevare questo traffico richiede più di un semplice elenco di IP cattivi; richiede un'analisi comportamentale di come un'estensione interagisce con il web.

La frode pubblicitaria come cortina di fumo per l'esfiltrazione di dati

La parte più visibile dell'infezione StegoAd era la frode pubblicitaria. Le estensioni iniettavano annunci nelle pagine web, dirottavano le commissioni di affiliazione su siti come Amazon ed eBay e reindirizzavano le query di ricerca. Questa è la parte rumorosa del malware, progettata per generare entrate immediate. Tuttavia, il post-mortem tecnico condotto da Microsoft ha rivelato un set di capacità molto più oscuro nascosto sotto la superficie.

Il recupero dei payload ha mostrato che l'attore aveva capacità di esecuzione remota di codice (RCE). Potevano inviare JavaScript arbitrario dal server a qualsiasi browser infetto. Ciò ha permesso loro di raccogliere credenziali Google e codici di secondo fattore durante il processo di login. Hanno anche preso di mira i login amministrativi di WordPress ed esfiltrato cookie in blocco. Da una prospettiva architettonica, i cookie di sessione sono un asset tossico se cadono nelle mani sbagliate. Un attaccante con un cookie di sessione fresco può bypassare completamente l'MFA ed entrare direttamente nell'account di un utente.

La telemetria per la campagna è stata gestita attraverso sette ID di tracciamento di Google Analytics. Ciò ha fornito all'operatore una dashboard in tempo reale dei propri progressi utilizzando l'infrastruttura analitica di Google stessa. Potevano vedere quali estensioni stavano performando bene, quali paesi avevano le installazioni più attive e dove i loro payload venivano attivati con successo. Il livello di intelligenza operativa qui è professionale e indica un modello di business ottimizzato.

La connessione cinese e DarkSpectre

Microsoft non ha nominato ufficialmente l'attore dietro StegoAd, ma gli indicatori tecnici puntano verso un noto cluster di attività. Il payload per il furto di credenziali esfiltra i dati verso un dominio chiamato mitarchive.info. I ricercatori di sicurezza hanno precedentemente collegato questo dominio a un'operazione cinese nota come DarkSpectre. Questo gruppo è anche associato alle campagne ShadyPanda e GhostPoster, che hanno utilizzato tattiche simili per distribuire estensioni malevole.

La sovrapposizione è più di un singolo dominio. StegoAd ha utilizzato lo stesso identico metodo per nascondere il codice all'interno dell'icona di un'estensione che GhostPoster aveva usato mesi prima. Hanno persino condiviso le stesse convenzioni di denominazione per le loro estensioni, come Ads Block Ultimate. Ciò suggerisce che StegoAd sia l'ultima evoluzione di una operazione cinese di lunga data che tratta l'ecosistema delle estensioni dei browser come un teatro primario di operazioni. Gli operatori sono agili, spostandosi da una piattaforma all'altra man mano che i difensori recuperano terreno.

Valutare la superficie di attacco e agire

Microsoft ha rimosso tutte le 119 estensioni e sospeso gli account degli sviluppatori, ma il pericolo persiste per gli utenti che hanno ancora questi strumenti installati. Poiché alcune di queste estensioni erano altamente funzionali, gli utenti potrebbero non rendersi nemmeno conto di essere compromessi. Se usi Edge, il tuo primo passo è visitare edge://extensions e controllare il tuo elenco. Confronta i tuoi ID installati con l'elenco fornito nel report tecnico di Microsoft.

In caso di corrispondenza, l'ambiente del browser è compromesso. Rimuovere l'estensione è solo il primo passo. Devi presumere che i tuoi cookie di sessione e le tue credenziali siano nelle mani del gruppo DarkSpectre. Cambia le password per gli account di alto valore, inclusi Google, la tua banca e qualsiasi portale legato al lavoro come WordPress. Controlla la tua attività di accesso recente per eventuali posizioni o dispositivi non riconosciuti.

Guardando il panorama delle minacce, questo incidente evidenzia il fallimento della tradizionale revisione delle estensioni. L'analisi statica non è più sufficiente per catturare attori che usano la steganografia e la validazione lato server. Parlando proattivamente, la migliore difesa è un browser snello. Installa solo estensioni assolutamente necessarie e provenienti da sviluppatori verificati e affidabili. Usa chiavi di sicurezza hardware per l'MFA ove possibile. A differenza dei codici SMS o delle notifiche push, una chiave hardware richiede un'interazione fisica che uno script basato su estensione non può facilmente replicare.

Punti chiave per la sicurezza del browser

• Controlla le tue estensioni: Verifica regolarmente edge://extensions o chrome://extensions e rimuovi tutto ciò che non usi.
• Attenzione al ritardo: Sospetta delle estensioni che cambiano improvvisamente comportamento o richiedono nuovi permessi giorni dopo l'installazione.
• Verifica lo sviluppatore: Gli attori malevoli spesso usano nomi generici o imitano strumenti popolari. Controlla la cronologia e il sito web dello sviluppatore.
• Usa MFA hardware: Le chiavi di sicurezza fisiche sono la difesa più resiliente contro il tipo di furto di credenziali e sessioni visto in StegoAd.
• Monitora gli accessi: Controlla le dashboard di sicurezza dei tuoi account principali per sessioni che non dovrebbero esistere.

Fonti: Microsoft Security Blog, NIST SP 800-53 (Control Assessment), MITRE ATT&CK (T1027.003 - Steganography), Koi Security Research Reports.

Dichiarazione di non responsabilità: Questo articolo è solo a scopo informativo ed educativo e non sostituisce un audit professionale di cybersicurezza o un servizio di risposta agli incidenti.