Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Microsoft отстрани 119 Edge екстензии што криеја малициозен софтвер во слики и фонтови

Објавено: 29.06.2026

Microsoft прекина долгогодишна операција со малициозни екстензии во продавницата Edge Add-ons, кои го криеја својот малициозен код во обични слики и фонт-датотеки, а потоа се активираа неколку дена по инсталацијата за да крадат кориснички акредитиви и да извршуваат измами со онлајн реклами (ad fraud).

Компанијата ја нарекува оваа кампања StegoAd – комбинација од поимите стеганографија (steganography) и adware – и ја поврзува со 119 екстензии кои, според Microsoft, потекнуваат од ист актер на закани активен најмалку од 2021 година.

Екстензиите биле од типот што корисниците вообичаено ги инсталираат без двоумење, како што се:

  • блокатори на реклами (ad blockers),
  • VPN екстензии,
  • преведувачи,
  • преземачи на видеа (video downloaders).

Секоја од нив ја извршувала својата легитимна функција и добивала позитивни оценки од корисниците. Малициозниот код останувал неактивен сè додека екстензијата не поминела низ повеќе механизми за избегнување на откривање, што објаснува како успеала да остане во продавницата со години.

Според Microsoft, 119-те екстензии заедно биле инсталирани на до 2,6 милиони уреди. Компанијата нагласува дека ова претставува максимален можен број на инсталации, а не број на реално компромитирани корисници.

Повеќедневното одложување пред активирањето на малициозниот код, дополнителната проверка преку сервер и ограничувањето според кое кај дел од варијантите кодот се извршувал кај само 10% од инсталациите, значат дека кај многу корисници малициозниот товар никогаш не бил активиран. Колку лица навистина биле компромитирани засега не е познато.

Код скриен во слики и фонтови

Техниката по која кампањата го добила своето име е стеганографијата – метод за сокривање извршлив код во датотеки кои на прв поглед изгледаат сосема безопасно.

Во најраните варијанти, напаѓачите додавале JavaScript код по IEND маркерот на PNG икона. Така, сликата нормално се прикажувала во сите прелистувачи, додека истовремено содржела скриен малициозен код што статичките безбедносни скенери не успевале да го детектираат.

Откако безбедносните алатки почнале да ја препознаваат оваа техника, напаѓачите преминале на користење WebP слики, а потоа и WOFF2 фонт-датотеки. Во нив малициозниот код бил сокриван во опсези на глифови што изгледале како азиски знаци или бил вметнуван во метаподатоците на фонтот.

Microsoft наведува дека употребата на стеганографија во ваков обем е исклучително ретка во екосистемот на екстензии за веб-прелистувачи.

Кај некои од најопасните варијанти, малициозниот товар воопшто не бил вклучен во самата екстензија. Наместо тоа, екстензијата преземала навидум безопасна слика од командно-контролен (C2) сервер.

Потоа, преку повеќестепен процес што вклучувал:

  • замена на големи и мали букви,
  • замена на цифри,
  • Base64 декодирање,
  • XOR дешифрирање,

екстензијата го извлекувала скриениот код и го проверувала неговиот дигитален потпис пред да го изврши.

Дополнително, C2 серверот го испраќал вистинскиот малициозен фајл само на барања што успешно поминувале проверка на отпечатокот на системот (fingerprint) и User-Agent проверка. Секој што се обидувал директно да го анализира серверот – вклучувајќи ги и безбедносните истражувачи – добивал празен, лажен (decoy) одговор наместо вистинскиот малициозен товар.

Екстензиите исто така следеле дали се отворени Developer Tools (DevTools) во прелистувачот. Доколку детектирале дека безбедносен истражувач или аналитичар ги анализира, тие дополнително го продолжувале периодот на неактивност (dormancy), со цел да избегнат откривање.

Измами со реклами на површината, кражба на акредитиви во позадина

Најочигледната штета што ја предизвикувале овие екстензии била измама со онлајн реклами (ad fraud). Тие:

  • вметнувале несакани реклами во веб-страници;
  • незаконски ги присвојувале провизиите од партнерските (affiliate) програми на Amazon, eBay и AliExpress;
  • ги пренасочувале пребарувањата на корисниците;

со што остварувале финансиска корист за напаѓачите, а истовремено го нарушувале нормалното искуство при прелистување на интернет.

Сепак, анализата на Microsoft покажала дека зад овие активности се криеле многу поопасни функции.

Според анализата на преземените малициозни товари (payloads), тие содржеле задна врата (backdoor) за далечинско извршување на код, која можела да извршува произволен JavaScript код испратен од командно-контролниот (C2) сервер.

Покрај тоа, малициозниот код можел:

  • да краде Google кориснички акредитиви и кодови за двофакторска автентикација (2FA) при најавување;
  • да ги собира администраторските кориснички имиња и лозинки за WordPress;
  • масовно да извлекува колачиња (cookies) од прелистувачот, овозможувајќи киднапирање на кориснички сесии (session hijacking) и неовластен пристап до корисничките сметки без потреба од внесување лозинка.

Microsoft наведува дека седум Google Analytics идентификатори за следење (tracking IDs) биле користени како прикриен механизам за телеметрија, овозможувајќи му на напаѓачот преку инфраструктурата на Google да добива речиси во реално време информации за текот и успешноста на кампањата.

И инфраструктурата зад нападот била подеднакво софистицирана. Според Microsoft, кампањата користела повеќе од десет командно-контролни (C2) домени со механизам за автоматско префрлање (failover) доколку некој од серверите стане недостапен.

Напаѓачите, исто така:

  • го пренасочувале сообраќајот преку Cloudflare Workers;
  • ја злоупотребувале платформата GitHub Pages за хостирање на сигнални датотеки (beacons).

Покрај тоа, користеле полиморфна рамка (polymorphic framework) која функционирала во околу 66 екстензии, под повеќе од 15 различни варијанти на имиња. Операцијата успешно мигрирала од Manifest V2 на Manifest V3, приспособувајќи се на промените што ги вовеле платформите за екстензии на прелистувачите.

Што треба да направат корисниците?

Microsoft соопшти дека ги отстранил сите 119 малициозни екстензии и ги суспендирал повеќе од 90 развивачки сметки поврзани со нив. Целосната листа на идентификатори (Extension IDs) е објавена во техничкиот извештај на компанијата.

Корисниците треба:

  • да ја отворат страницата edge://extensions во Microsoft Edge;
  • да ги споредат инсталираните екстензии со објавената листа;
  • доколку пронајдат совпаѓање или ако Edge автоматски отстранил некоја екстензија, да го сметаат прелистувачот за потенцијално компромитиран.

Во таков случај, се препорачува веднаш да се променат лозинките за:

  • Google сметките;
  • WordPress сметките;
  • банкарските сметки;
  • сите други чувствителни кориснички профили.

Дополнително, корисниците треба да:

  • ја проверат неодамнешната активност на најавувања;
  • овозможат силна двофакторска автентикација (2FA).

Microsoft истакнува дека хардверските безбедносни клучеви (hardware security keys) обезбедуваат значително подобра заштита од ваков вид кражба на акредитиви отколку SMS-кодовите за автентикација.

Компанијата, исто така, објави индикатори за компромитација (Indicators of Compromise – IoCs) што можат да се користат за откривање на заканата во Google Chrome, Mozilla Firefox и други прелистувачи базирани на Chromium.

Поврзаност со претходни кампањи

Според Microsoft, StegoAd повеќе претставува нова варијанта на веќе позната операција отколку сосема нова кампања.

Малициозниот товар што краде кориснички акредитиви ги испраќа украдените податоци до доменот mitarchive.info, кој компанијата Koi Security го поврзува со кинеската операција DarkSpectre. Во декември, Koi Security ја поврза истата група и со кампањите ShadyPanda и GhostPoster, кои исто така користеле злонамерни екстензии за веб-прелистувачи.

Поврзаноста не се ограничува само на истиот домен.

StegoAd го сокрива малициозниот код во иконата на самата екстензија, што е идентична техника со онаа што GhostPoster ја користел неколку месеци претходно.

Двете кампањи дури користеле и исти имиња на екстензии, како што е Ads Block Ultimate.

Иако Microsoft не ја именува директно групата што стои зад нападите, компанијата наведува дека преклопувањето помеѓу овие кампањи е очигледно и дека операторот сè уште е активен.

Извори:

  • The Hacker News – Microsoft Removes 119 Edge Extensions That Hid Malware in Images and Fonts The Hacker News