Microsoft ha rimosso 119 estensioni dal Microsoft Edge Add-ons store, svelando una campagna che ha aggirato i controlli della piattaforma. Il gruppo, attivo almeno dal 2021, ha distribuito malware denominato StegoAd occultando payload JavaScript in file apparentemente innocui: immagini PNG, WebP e font WOFF2. L'operazione ha raggiunto un'installazione base combinata fino a 2,6 milioni di utenti, secondo quanto riferisce Microsoft al sito specializzato The Hacker News. I dettagli tecnici derivano dal reporting di The Hacker News; Microsoft non ha rilasciato advisory ufficiale accessibile direttamente.
- Microsoft ha rimosso 119 estensioni e sospeso oltre 90 account sviluppatore nel Microsoft Edge Add-ons store.
- Il malware StegoAd nascondeva payload JavaScript in file PNG post-IEND, WebP e WOFF2, eludendo scanner statici standard.
- Il codice rimaneva dormiente per giorni dopo l'installazione e attivava il payload solo nel 10% dei casi per evitare rilevamento.
- L'infrastruttura di comando e controllo usava 10+ domini con failover automatico, Cloudflare Workers e GitHub Pages.
Il trucco della steganografia nel browser
Le tecniche di occultamento documentate da The Hacker News rappresentano un livello di sofisticazione che Microsoft giudica rara nell'ecosistema delle estensioni browser. Le varianti iniziali appendevano codice JavaScript dopo il marker IEND dei file PNG, una posizione che gli strumenti di analisi statica tendono a ignorare. Successivamente l'operatore è migrato a WebP e a font WOFF2, sfruttando metadata e glyph ranges per nascondere istruzioni eseguibili.
Questa evoluzione non è casuale. La migrazione da Manifest V2 a V3, il formato più recente delle estensioni Chromium, mostra un adattamento continuo alle modifiche della piattaforma. L'operatore ha dimostrato di comprendere non solo le vulnerabilità tecniche ma anche i ritmi dello sviluppo di Edge.
I meccanismi di evasione che hanno ingannato lo store
La persistenza nel marketplace ufficiale richiede più di un buon nascondiglio. StegoAd implementava un sistema di dormienza multi-giorno: il codice malevolo non si attivava immediatamente dopo l'installazione, ma attendeva un periodo variabile che rendeva inefficaci le sandbox di analisi dinamica con tempi brevi. Inoltre, un execution gate del 10% limitava l'esecuzione del payload a una minoranza di sessioni, riducendo la probabilità di generare pattern anomali rilevabili da telemetry.
Il rilevamento di DevTools completava il quadro. Se l'estensione rilevava l'apertura degli strumenti di sviluppo del browser, interrompeva comportamenti sospetti, rendendo difficile l'analisi manuale. Questa combinazione di delay, campionamento e fingerprinting ambientale costituisce un profilo di maturità operativa insolito per campagne di estensioni browser.
L'infrastruttura C2 e i profitti dell'operazione
Il danno documentato include ad fraud e furto di credenziali. Le estensioni, mascherate da ad blocker, VPN, translator e video downloader, iniettavano annunci, dirottavano commissioni affiliate e reindirizzavano ricerche. Sette Google Analytics tracking ID fungevano da telemetria occulta, permettendo all'operatore di monitorare l'efficacia della distribuzione senza esporsi con server propri.
L'infrastruttura di comando e controllo si appoggiava a oltre 10 domini con meccanismo di failover automatico, distribuiti tra Cloudflare Workers e GitHub Pages. Alcune varianti non includevano nemmeno il payload localmente: lo recuperavano da remoto dopo aver fingerprintato il sistema. Un framework polimorfico copriva circa 66 estensioni in oltre 15 varianti di nome, complicando la correlazione manuale.
"Combined, the 119 extensions had an install base of up to 2.6 million users. Microsoft is clear that this is a ceiling, not a victim count." — The Hacker News
Il collegamento con DarkSpectre e i limiti dell'attribuzione
Microsoft non ha nominato pubblicamente l'attore responsabile, ma ha confermato che l'operatore è ancora attivo. The Hacker News riporta che Koi Security ha collegato il dominio mitarchive.info — usato per l'esfiltrazione di credenziali — al gruppo noto come DarkSpectre o GhostPoster. La sovrapposizione include metodi di icona condivisi e nomi estensioni sovrapposti come "Ads Block Ultimate".
Questa attribuzione rimane esterna a Microsoft. La fonte non specifica se la corporation abbia condiviso o convalidato l'analisi di Koi Security. La mancanza di un advisory ufficiale Microsoft con lista IoC e identificatori estensione limita la verifica indipendente: The Hacker News cita un "technical report" che non risulta accessibile direttamente.
Cosa fare adesso
- Rimuovere immediatamente dal browser Edge qualsiasi estensione non riconosciuta o non più necessaria, in particolare ad blocker, VPN, translator e video downloader installati nel periodo di attività della campagna.
- Monitorare gli store aziendali delle estensioni con cadenza regolare, dato che store ufficiali non garantiscono immunità da compromissioni a lungo termine.
- Segnalare estensioni sospette attraverso i canali ufficiali Microsoft, contribuendo al miglioramento dei controlli della piattaforma.
Il paradosso del marketplace "sicuro"
StegoAd espone una contraddizione strutturale dell'ecosistema delle estensioni. Gli utenti sono condizionati a considerare gli store ufficiali come confini di trust, ma la review manuale o automatizzata di centinaia di migliaia di estensioni non scala con la sofisticazione degli attaccanti. La steganografia a questo livello, come nota Microsoft, è rara nel contesto browser — ma la sua rarità non ne riduce l'impatto quando riesce a penetrare i controlli.
La campagna non è tecnicamente una supply chain attack nel senso classico: le estensioni non compromettono un software legittimo, ma si presentano come tali. Il risultato però è equivalente: codice malevolo distribuito attraverso un canale ufficiale, con la complicità involontaria della piattaforma. La differenza sta nella persistenza: anni di attività almeno dal 2021, con evoluzione tecnica continua, suggeriscono che il modello di trust basato su store curati richiede integrazione con analisi comportamentale post-installazione, non solo pre-pubblicazione.
Le informazioni sono basate sulle fonti disponibili al momento della pubblicazione. I dettagli tecnici derivano da reporting di The Hacker News; Microsoft non ha rilasciato advisory ufficiale accessibile direttamente.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thomasharris6.wordpress.com/2026/06/29/microsoft-removes-119-edge-extensions-that-hid-malware-in-images-and-fonts/
- https://thehackernews.com/2026/06/microsoft-removes-119-edge-extensions.html
- https://therecord.media/russia-ukraine-social-engineering-messaging-accounts
- https://isc.sans.edu/diary/rss/33102
- https://therecord.media/russian-hackers-target-signal-whatsapp-warn-dutch-intelligence-agencies
- https://therecord.media/ukraine-military-personnel-cyber-espionage-uac-0184