StegoAd : un malware caché dans 119 extensions Microsoft Edge

Actu Cybersécurité

StegoAd : un malware caché dans 119 extensions Microsoft Edge

119 extensions malveillantes ont été retirées de la boutique d’extensions du navigateur Microsoft Edge. Leur point commun : un code malveillant dissimulé dans des images et des polices de caractères, qui ne se réveillait que plusieurs jours après l’installation sur une machine. Surnommée StegoAd, la campagne cumulait jusqu’à 2,6 millions d’installations et serait l’œuvre d’un seul et même groupe de pirates, actif depuis 2021 au moins. Voici ce que l’on sait.

L’équipe Microsoft Edge Extensions Security a récemment publié un rapport à propos d’une campagne surnommée StegoAd. Ce nom n’a pas été choisi au hasard. Il fait référence à deux techniques utilisées dans cette attaque : la stéganographie, l’art de cacher des données dans un fichier d’apparence anodine, et l’adware, la fraude à la publicité. Selon Microsoft, ces 119 extensions étaient distribuées via plus de 90 comptes de développeurs, tous suspendus désormais.

119 extensions, 2,6 millions d’installations : l’anatomie de StegoAd

Comme souvent, les pirates ont conçu les extensions malveillantes de façon à ce qu’elles semblent légitimes et inoffensives : bloqueurs de publicités, VPN, traducteurs, téléchargeurs de vidéos. Chacune de ces extensions remplissait réellement sa fonction, de quoi récolter des avis positifs et ne pas éveiller les soupçons.

Ce qui est intéressant avec ces extensions, c’est que l’activité malveillante est en veille durant les premiers jours qui font suite à l’installation. D’après Microsoft, le code malveillant restait dormant tant qu’une série de prérequis n’était pas respectée :

  • Un délai d’attente de 3 à 5 jours après l’installation, suffisant pour passer sous le radar des environnements d’analyse automatisée (sandbox).
  • Une exécution probabiliste : le code ne se déclenchait pas systématiquement.
  • Une validation côté serveur des requêtes avant toute livraison de charge malveillante.
  • Une détection des outils de développement : si l’extension repérait l’ouverture des DevTools, elle prolongeait sa mise en veille.

Au total, ces extensions comptabilisent 2,6 millions d’installations entre mars 2024 et avril 2026, mais ce n’est pas pour autant le nombre total de victimes. Entre les différentes conditions évoquées ci-dessus, dont le délai d’activation et la validation serveur, la charge malveillante n’a jamais été exécutée pour de nombreuses installations. De ce fait, le nombre réel de personnes victimes de cette campagne reste inconnu.

L’analyse de Microsoft met en évidence plusieurs actions malveillantes effectuées sur les machines où le malware est entré en action. Il est notamment question de fraude publicitaire : injection de publicités, détournement de commissions d’affiliation sur Amazon, eBay et AliExpress, redirection des résultats de recherche.

Mais ce n’est pas tout. On y trouve une porte dérobée capable de permettre aux attaquants d’exécuter du code JavaScript à distance, ainsi que le vol des identifiants. Le malware cible les identifiants Google, les identifiants d’administration WordPress, et l’exfiltration en masse de cookies pour le détournement de sessions.

Du code dissimulé dans des images et des polices de caractères

C’est la signature de la campagne. La stéganographie consiste ici à glisser du code exécutable dans des fichiers images banals. D’après Microsoft, l’acteur a fait évoluer sa technique au fil des détections, en quatre étapes :

  • Icône PNG piégée : du JavaScript ajouté après le marqueur de l’icône de l’extension. L’image s’affiche normalement partout, mais embarque une charge utile que les scanners statiques ne repèrent pas.
  • PNG distant : une image récupérée depuis un serveur de commande et contrôle (C2), contenant la charge encodée.
  • Conteneurs WebP : une fois les détections PNG améliorées, le pirate a basculé vers un format que les règles d’analyse ne couvraient pas encore.
  • Polices WOFF2 : le code était dissimulé dans les fichiers de police, là où il passait pour de simples données typographiques.

Le décodage, lui, empilait les couches : inversions de casse, inversions de chiffres, Base64 et XOR, avec une vérification de signature avant exécution.

Côté infrastructure, Microsoft décompte plus de dix domaines C2 avec bascule automatique, du trafic relayé via Cloudflare Workers et un détournement de GitHub Pages pour héberger les balises de suivi (notamment pour Google Analytics).

Cette mécanique n’est pas sans rappeler GhostPoster, cette campagne de 17 extensions malveillantes visant Chrome, Edge et Firefox que nous avions documentée en janvier dernier. Selon The Hacker News, qui s’appuie sur des travaux de Koi Security, StegoAd partagerait justement plusieurs points communs avec GhostPoster : la même méthode de dissimulation dans l’icône, des noms d’extensions identiques et un domaine d’exfiltration, , rattaché à l’opération chinoise DarkSpectre.

Le rapprochement reste à confirmer : Microsoft, de son côté, n’a pas nommé le groupe de pirates dans son rapport, bien que ce soit mentionné que l’acteur reste actif. La technique de l’image piégée n’est d’ailleurs pas nouvelle dans la sphère cyber, comme l’avaient montré les attaques ClickFix dissimulant un malware dans un fichier PNG.

Êtes-vous concerné ? Les réflexes à adopter

La liste complète des identifiants des 119 extensions figure dans le rapport publié par Microsoft. Pour vérifier votre environnement, la marche à suivre tient en quelques gestes :

  • Ouvrir et comparer les extensions installées à la liste fournie par Microsoft.
  • En cas de correspondance ou si Edge a supprimé automatiquement une extension, considérer le navigateur comme compromis.
  • Réinitialiser les mots de passe des comptes sensibles : Google, WordPress, banque.
  • Passer en revue l’activité de connexion récente.
  • Activer une authentification à deux facteurs robuste (clés de sécurité, par exemple).

SOURCE