- 27,888
- 46
- 8 Ноя 2022
Вирусы прятались в погодных виджетах и блокировщиках рекламы.
В официальном магазине Microsoft Edge нашли сеть вредоносных расширений, которые маскировались под полезные инструменты и годами работали рядом с обычными дополнениями. Под видом блокировщиков рекламы, погодных виджетов, загрузчиков видео, PDF-инструментов, палитр цветов и ИИ-сервисов распространялись программы для кражи учётных данных, внедрения бэкдоров в браузер и мошенничества с рекламой и партнёрскими программами в поиске. Команда безопасности Microsoft удалила 119 расширений и описала операцию под названием StegoAd в отдельном отчёте .
Масштаб кампании оказался необычным даже для рынка браузерных дополнений. Вредоносные расширения публиковались через более чем 90 аккаунтов разработчиков, но использовали общую инфраструктуру и пересекающиеся фрагменты кода. Главным способом маскировки стала стеганография: злоумышленники прятали команды и вредоносный код внутри обычных на вид файлов, чтобы защитные системы не сразу видели опасную часть.
StegoAd не ограничивалась Edge. По данным Microsoft, операторы кампании также выпускали расширения для Chrome и Firefox, а активность группы прослеживается минимум с 2021 года. Злоумышленники смогли перенести разработки со старого стандарта Manifest V2 на новый Manifest V3, хотя Manifest V3 создавался в том числе для повышения безопасности браузерных дополнений.
Риск повышала отложенная активация вредоносного кода. После установки расширение сначала вело себя как обычный инструмент и выполняло заявленную функцию. Вредоносные компоненты запускались только через три-пять дней, поэтому проверяющие системы могли не заметить вторую стадию атаки, а пользователь успевал привыкнуть к дополнению.
Microsoft называет операторов StegoAd изощрёнными и технически продвинутыми злоумышленниками. Группа регулярно дорабатывала методы обхода защиты, меняла подходы к управлению расширениями и старалась оставаться незамеченной для команд безопасности крупных разработчиков браузеров. По оценке компании, вредоносные дополнения скачали более 2,6 млн пользователей, однако отчёт не уточняет, относится ли число только к Edge или ко всем браузерным экосистемам. С учётом работы StegoAd в Chrome и Firefox реальная аудитория могла быть выше.
Пользователям стоит проверить установленные расширения и удалить всё лишнее, особенно старые загрузчики видео, блокировщики рекламы, «ускорители» интернета, PDF-инструменты и небольшие сервисные дополнения без понятного разработчика. При совпадении с перечнем из отчёта Microsoft лучше сменить пароли, завершить активные сеансы в важных сервисах и включить двухфакторную защиту.
В официальном магазине Microsoft Edge нашли сеть вредоносных расширений, которые маскировались под полезные инструменты и годами работали рядом с обычными дополнениями. Под видом блокировщиков рекламы, погодных виджетов, загрузчиков видео, PDF-инструментов, палитр цветов и ИИ-сервисов распространялись программы для кражи учётных данных, внедрения бэкдоров в браузер и мошенничества с рекламой и партнёрскими программами в поиске. Команда безопасности Microsoft удалила 119 расширений и описала операцию под названием StegoAd в отдельном отчёте .
Масштаб кампании оказался необычным даже для рынка браузерных дополнений. Вредоносные расширения публиковались через более чем 90 аккаунтов разработчиков, но использовали общую инфраструктуру и пересекающиеся фрагменты кода. Главным способом маскировки стала стеганография: злоумышленники прятали команды и вредоносный код внутри обычных на вид файлов, чтобы защитные системы не сразу видели опасную часть.
StegoAd не ограничивалась Edge. По данным Microsoft, операторы кампании также выпускали расширения для Chrome и Firefox, а активность группы прослеживается минимум с 2021 года. Злоумышленники смогли перенести разработки со старого стандарта Manifest V2 на новый Manifest V3, хотя Manifest V3 создавался в том числе для повышения безопасности браузерных дополнений.
Риск повышала отложенная активация вредоносного кода. После установки расширение сначала вело себя как обычный инструмент и выполняло заявленную функцию. Вредоносные компоненты запускались только через три-пять дней, поэтому проверяющие системы могли не заметить вторую стадию атаки, а пользователь успевал привыкнуть к дополнению.
Microsoft называет операторов StegoAd изощрёнными и технически продвинутыми злоумышленниками. Группа регулярно дорабатывала методы обхода защиты, меняла подходы к управлению расширениями и старалась оставаться незамеченной для команд безопасности крупных разработчиков браузеров. По оценке компании, вредоносные дополнения скачали более 2,6 млн пользователей, однако отчёт не уточняет, относится ли число только к Edge или ко всем браузерным экосистемам. С учётом работы StegoAd в Chrome и Firefox реальная аудитория могла быть выше.
Пользователям стоит проверить установленные расширения и удалить всё лишнее, особенно старые загрузчики видео, блокировщики рекламы, «ускорители» интернета, PDF-инструменты и небольшие сервисные дополнения без понятного разработчика. При совпадении с перечнем из отчёта Microsoft лучше сменить пароли, завершить активные сеансы в важных сервисах и включить двухфакторную защиту.
- Источник новости
- www.securitylab.ru
