Microsoft Removes 119 Edge Extensions That Hid Malware in Images and Fonts
Mis à jour :
Démantèlement de “StegoAd” : une campagne de malwares cachés dans des extensions Edge
Microsoft a supprimé 119 extensions malveillantes du store Edge, totalisant jusqu’à 2,6 millions d’installations, qui dissimulaient des codes malveillants via des techniques de stéganographie. Active depuis 2021, cette opération baptisée « StegoAd » exploitait des outils légitimes (VPN, bloqueurs de publicités) pour infecter les utilisateurs en toute discrétion.
Points clés :
- Technique de dissimulation : Le code malveillant était caché dans des images (PNG, WebP) et des polices de caractères (WOFF2) pour contourner les analyses statiques.
- Mécanismes d’évitement : Les extensions utilisaient des délais d’exécution, des validations côté serveur et la détection d’outils de débogage pour rester dormantes et éviter les chercheurs en sécurité.
- Objectifs : Fraude publicitaire, détournement d’affiliations, vol de mots de passe, interception de codes 2FA et piratage de sessions WordPress.
- Attribution probable : Des liens techniques suggèrent une connexion avec les campagnes DarkSpectre, ShadyPanda et GhostPoster.
Vulnérabilités :
- Aucune CVE spécifique n’est mentionnée, car l’attaque repose sur l’abus de fonctionnalités légitimes des extensions et des techniques de contournement au niveau applicatif (exfiltration via des serveurs C2 polymorphes).
Recommandations :
- Vérification : Consulter la liste des extensions compromises dans le rapport technique de Microsoft via
edge://extensions. - Réinitialisation : En cas de présence d’une extension suspecte, considérer le navigateur comme compromis. Modifier immédiatement les mots de passe des comptes sensibles (Google, WordPress, services bancaires).
- Sécurisation : Privilégier les clés de sécurité matérielles (FIDO2) plutôt que les codes 2FA par SMS, plus vulnérables au vol de session et au phishing.
- Audit : Examiner les journaux de connexion récents pour détecter tout accès non autorisé.