Как 119 вредоносных расширений превратили магазин надстроек Edge в плацдарм для атак

Стандартное браузерное расширение — это небольшой пакет доверия. Пользователи устанавливают блокировщики рекламы и VPN с ожиданием, что эти инструменты работают на них, а не против них. Microsoft недавно ликвидировала масштабную операцию, которая перевернула эти отношения. Кампания, получившая название StegoAd, включала 119 вредоносных расширений в магазине Microsoft Edge Add-ons. Эти расширения оставались активными в течение многих лет, охватив базу в 2,6 миллиона пользователей. Эта операция — мастер-класс по скрытности, использующий стеганографию для того, чтобы спрятать вредоносную нагрузку внутри тех самых файлов, которые обеспечивают корректный вид и работу веб-страниц.

С точки зрения рисков масштаб воздействия значителен. Хотя Microsoft отмечает, что 2,6 миллиона — это верхний предел, а не подтвержденное количество жертв, архитектурная сложность StegoAd указывает на профессиональный уровень планирования. Расширения делали именно то, что обещали: блокировали рекламу, переводили текст и скачивали видео. Они получали положительные отзывы. Однако за кулисами они ждали определенного набора условий, чтобы запустить вторичный, вредоносный жизненный цикл. Это была терпеливая атака, разработанная для обхода автоматических сканеров, которые охраняют современные экосистемы браузеров.

Архитектура медленной инфекции

Отслеживание цепочки атаки в обратном направлении выявляет методичный подход к состоянию покоя. Субъект StegoAd понимал, что немедленная вредоносная активность — это смертный приговор для браузерного расширения. Большинство из 119 расширений оставались безвредными в течение нескольких дней после установки. Такая задержка является обычной тактикой, но злоумышленник пошел дальше. Они внедрили стек проверок на уклонение, чтобы расширение «просыпалось» только на машине реального пользователя.

Одна из проверок искала наличие инструментов разработчика (DevTools). Если аналитик открывал инспектор, чтобы посмотреть, что делает расширение, код замечал изменения и продлевал период покоя. Это эффективно скрывало поведение от любого, кто пытался его обнаружить. Говоря проактивно, злоумышленник также использовал 10-процентный порог выполнения на определенных вариантах. Это означает, что только одна из десяти установок фактически активировала полезную нагрузку. Для исследователя безопасности, пытающегося воспроизвести зарегистрированную ошибку, вредоносное ПО просто не проявлялось.

Это выборочное выполнение превратило пользовательскую базу в массивный децентрализованный испытательный стенд. Злоумышленник мог совершенствовать свои скрипты и методы кражи данных на небольшой подгруппе пользователей, в то время как остальные 90% обеспечивали щит из легитимной активности и высоких рейтингов. Расширения даже мигрировали с Manifest V2 на Manifest V3 по мере развития платформы Chromium. Это демонстрирует долгосрочную приверженность сохранению доступа к пользовательской базе Edge.

Как стеганография превратила иконки в оружие

Ядром кампании является стеганография — практика сокрытия данных внутри других данных. Злоумышленник использовал изображения и файлы шрифтов в качестве носителей для своих JavaScript-нагрузок. В самых ранних версиях StegoAd вредоносное ПО добавлялось после маркера IEND иконки формата PNG. Этот маркер сообщает программе просмотра изображений, что файл закончен. Все, что находится после этого маркера, игнорируется рендерером, но остается доступным для скрипта. Для статического сканера файл выглядит как валидная, безвредная иконка.

По мере совершенствования инструментов обнаружения злоумышленник адаптировался. Они перенесли свои полезные нагрузки в изображения WebP и файлы шрифтов WOFF2. Файлы WOFF2 — это сжатые веб-шрифты, содержащие диапазоны глифов и метаданные. Злоумышленник прятал код внутри этих диапазонов, из-за чего полезная нагрузка выглядела как азиатский текст или метрики шрифта. Microsoft описывает стеганографию такого масштаба как редкое явление в сфере браузерных расширений. Это трудоемкая техника, требующая от атакующего вручную создавать или модифицировать медиафайлы, чтобы они продолжали функционировать, неся в себе зашифрованный «безбилетный груз».

В некоторых вариантах с высоким уровнем воздействия полезная нагрузка даже не присутствовала в локальных файлах расширения. Расширение получало обычное на вид изображение с командного сервера. После загрузки расширение декодировало изображение через несколько уровней смены регистра, замены цифр, кодирования Base64 и операций XOR. Затем оно проверяло полученный скрипт на соответствие цифровой подписи перед выполнением. Этот процесс гарантирует, что вредоносная логика никогда не сохраняется на диске в читаемом формате.

Защита командной инфраструктуры

Серверная инфраструктура StegoAd была столь же устойчивой, как и сами расширения. Злоумышленник использовал более десяти командных доменов с возможностью автоматического переключения при отказе. Если один домен блокировался или отключался, расширения автоматически обращались к резервному. Чтобы еще больше скрыть свой трафик, операторы проксировали запросы через Cloudflare Workers. Это придавало вредоносному трафику вид легитимных вызовов API к авторитетному облачному провайдеру.

Серверная проверка действовала как вышибала в VIP-клубе у каждой двери. Когда расширение запрашивало полезную нагрузку, сервер проверял цифровой отпечаток браузера и строку User-Agent. Если запрос поступал из известной исследовательской среды или автоматизированной «песочницы», сервер возвращал пустой ложный ответ. Я видел такой уровень паранойи у продвинутых группировок (APT), но он менее характерен для кампаний с рекламным ПО (adware). Это говорит о том, что оператор был крайне мотивирован защитить свой инструментарий от обнаружения.

GitHub Pages был еще одним инструментом в арсенале злоумышленника. Они использовали платформу для хостинга маяков, предоставляя надежный и доверенный домен для проверки обновлений расширениями. Злоупотребляя легитимной инфраструктурой, операторы StegoAd гарантировали, что их трафик смешивается с фоновым шумом типичной корпоративной или домашней сети. Обнаружение такого трафика требует большего, чем просто список плохих IP-адресов; оно требует поведенческого анализа того, как расширение взаимодействует с сетью.

Рекламное мошенничество как дымовая завеса для кражи данных

Самой заметной частью заражения StegoAd было рекламное мошенничество. Расширения внедряли рекламу на веб-страницы, перехватывали партнерские комиссии на таких сайтах, как Amazon и eBay, и перенаправляли поисковые запросы. Это «громкая» часть вредоносного ПО, предназначенная для получения немедленного дохода. Однако технический анализ, проведенный Microsoft, выявил гораздо более опасный набор возможностей, скрытых под поверхностью.

Извлечение полезных нагрузок показало, что злоумышленник обладал возможностями удаленного выполнения кода. Они могли отправлять произвольный JavaScript с сервера в любой зараженный браузер. Это позволяло им собирать учетные данные Google и коды двухфакторной аутентификации в процессе входа в систему. Они также атаковали логины администраторов WordPress и массово похищали файлы cookie. С архитектурной точки зрения сессионные cookie — это токсичный актив, если они попадают в чужие руки. Атакующий со свежим сессионным cookie может полностью обойти MFA и войти прямо в учетную запись пользователя.

Телеметрия кампании управлялась через семь идентификаторов отслеживания Google Analytics. Это давало оператору панель мониторинга их прогресса в реальном времени, используя собственную аналитическую инфраструктуру Google. Они могли видеть, какие расширения работают хорошо, в каких странах больше всего активных установок и где их полезные нагрузки успешно срабатывают. Уровень оперативной разведки здесь профессионален и указывает на отлаженную бизнес-модель.

Китайский след и DarkSpectre

Microsoft официально не назвала субъекта, стоящего за StegoAd, но технические индикаторы указывают на известную группу активности. Полезная нагрузка для кражи учетных данных передает данные на домен mitarchive.info. Исследователи безопасности ранее связывали этот домен с китайской операцией, известной как DarkSpectre. Эта группа также ассоциируется с кампаниями ShadyPanda и GhostPoster, которые использовали аналогичную тактику для распространения вредоносных расширений.

Сходство заключается не только в одном домене. StegoAd использовала тот же самый метод сокрытия кода внутри собственной иконки расширения, который GhostPoster использовала месяцами ранее. Они даже использовали одинаковые соглашения об именовании своих расширений, такие как Ads Block Ultimate. Это позволяет предположить, что StegoAd — это последняя эволюция давней китайской операции, которая рассматривает экосистему браузерных расширений как основной театр военных действий. Операторы гибки и переходят с одной платформы на другую по мере того, как защитники их настигают.

Оценка поверхности атаки и принятие мер

Microsoft удалила все 119 расширений и заблокировала учетные записи разработчиков, но опасность сохраняется для пользователей, у которых эти инструменты все еще установлены. Поскольку некоторые из этих расширений были вполне функциональными, пользователи могут даже не осознавать, что они скомпрометированы. Если вы используете Edge, вашим первым шагом должно быть посещение edge://extensions и аудит вашего списка. Сравните идентификаторы установленных расширений со списком, представленным в техническом отчете Microsoft.

В случае совпадения среда браузера считается скомпрометированной. Удаление расширения — это только первый шаг. Вы должны исходить из того, что ваши сессионные cookie и учетные данные находятся в руках группы DarkSpectre. Измените пароли для важных учетных записей, включая Google, ваш банк и любые рабочие порталы, такие как WordPress. Проверьте недавнюю активность входа на предмет нераспознанных местоположений или устройств.

Глядя на ландшафт угроз, этот инцидент подчеркивает провал традиционной проверки расширений. Статического анализа уже недостаточно, чтобы поймать злоумышленников, использующих стеганографию и серверную валидацию. Проактивно говоря, лучшая защита — это «чистый» браузер. Устанавливайте только те расширения, которые абсолютно необходимы и исходят от проверенных, авторитетных разработчиков. Используйте аппаратные ключи безопасности для MFA везде, где это возможно. В отличие от SMS-кодов или push-уведомлений, аппаратный ключ требует физического взаимодействия, которое скрипт расширения не может легко воспроизвести.

Ключевые выводы для безопасности браузера

• Проводите аудит расширений: Регулярно проверяйте edge://extensions или chrome://extensions и удаляйте все, чем не пользуетесь.
• Следите за задержкой: Относитесь с подозрением к расширениям, которые внезапно меняют поведение или запрашивают новые разрешения через несколько дней после установки.
• Проверяйте разработчика: Злоумышленники часто используют общие имена или имитируют популярные инструменты. Проверяйте историю и веб-сайт разработчика.
• Используйте аппаратную MFA: Физические ключи безопасности являются наиболее устойчивой защитой от кражи учетных данных и сессий, наблюдаемой в StegoAd.
• Мониторьте входы в систему: Проверяйте панели безопасности ваших основных учетных записей на наличие сессий, которых не должно существовать.

Источники: Microsoft Security Blog, NIST SP 800-53 (Control Assessment), MITRE ATT&CK (T1027.003 - Steganography), Koi Security Research Reports.

Отказ от ответственности: Данная статья носит исключительно информационный и образовательный характер и не заменяет профессиональный аудит кибербезопасности или услуги по реагированию на инциденты.