Microsoft elimina 119 extensiones de Edge con malware escondido por esteganografía

Iconos de extensiones de navegador, uno abriéndose para revelar código malicioso rojo oculto dentro de una imagen — campaña StegoAd en Microsoft Edge
0 0 votos
Valora la Publicación

Microsoft eliminó 119 extensiones maliciosas de la tienda de complementos de Edge y suspendió más de 90 cuentas de desarrollador asociadas, tras desarticular una campaña que su equipo de seguridad bautizó StegoAd. El nombre combina sus dos firmas técnicas —steganography (esteganografía) y ad fraud (fraude publicitario)— y la operación estuvo activa desde al menos 2021. Las extensiones acumulaban hasta unos 2,6 millones de instalaciones, aunque el número real de víctimas es probablemente mayor por el mecanismo con el que operaban.

Extensiones «durmientes» que se disfrazaban de útiles

Las extensiones se hacían pasar por utilidades legítimas y funcionales: bloqueadores de anuncios, VPNs, traductores, descargadores de video, calculadoras y cupones. La clave estaba en la paciencia: permanecían inertes entre 3 y 5 días después de instalarse, el tiempo suficiente para superar la revisión de comportamiento de la tienda. Además detectaban si se abrían las DevTools y ocultaban el payload ante cualquier inspección; la validación era del lado del servidor, así que los sondeos directos recibían respuestas vacías.

Qué robaban

El botín era amplio: credenciales de Google y códigos de segundo factor (2FA) interceptados durante el login, logins de administrador de WordPress, robo masivo de cookies de sesión para secuestro de cuentas, y ejecución de JavaScript arbitrario enviado desde el servidor para desplegar más malware. A eso se sumaba el fraude publicitario y el secuestro de comisiones de afiliados en plataformas como Amazon, eBay y AliExpress.

La esteganografía como técnica de evasión

El código malicioso no viajaba en el JavaScript visible de la extensión, sino escondido dentro de imágenes y fuentes que el escáner de la tienda trata como recursos inocentes. La campaña usó cuatro métodos que fueron evolucionando: JavaScript anexado después del marcador IEND en iconos PNG, luego descarga externa de PNG desde el C2, contenedores WebP y, finalmente, codificación dentro de fuentes Unicode y WOFF2, con capas de decodificación (case-swaps, digit-swaps, Base64 y XOR). Combinada con la latencia de días, la esteganografía esquivaba tanto el análisis estático como la revisión de comportamiento inicial. Microsoft lo detectó con threat hunting proactivo: reconoció infraestructura compartida, huellas de código idénticas entre variantes y metadata de desarrollador consistente entre cuentas aparentemente no relacionadas.

La firma de la tienda oficial no es garantía

La lección incomoda: que una extensión esté en la tienda oficial y corra dentro del sandbox del navegador no garantiza que sea segura. Una extensión con permisos amplios puede activar carga maliciosa remota mucho después de haber sido aprobada. Del lado del usuario y de las áreas de IT, eso obliga a validar más allá del sandbox: auditar los permisos que pide cada complemento, revisar la reputación del desarrollador, desconfiar de las utilidades «gratis» con permisos excesivos y monitorear el comportamiento de forma continua, no solo en la instalación. ¿Tenés control sobre qué extensiones instalan los equipos de tu organización? Te leemos en los comentarios.

Fuentes

Escrito por

Pablo Ariel Di Loreto

Profesor. Informático. Fanático del helado de dulce de leche. Director de Ingeniería en MODO, y Secretario del Microsoft Users Group Asociación Civil. Además, soy owner de iniciativas como ConoSurTech y Aprender IT.

Ver todas las entradas de Pablo Ariel Di Loreto →
Suscribirse
Notificarme de
guest

0 Comentarios
Viejos
Nuevos Más votados
Scroll al inicio
0
Nos encantaría conocer tu opinión: ¡comenta!x