- 119 extensiones de borde maliciosas pasaron desapercibidas
- Instalaron código malicioso días después de la instalación de la extensión
- Esta es la prueba de que la revisión de código estático ya no es suficiente
Microsoft dice que ha eliminado 119 extensiones maliciosas de la tienda de complementos Edge después de que se lanzara una campaña de “búsqueda proactiva de amenazas”, conocida como StegoAid.
Como parte del programa, la empresa tuvo que suspender más de 90 cuentas de desarrolladores vinculadas a actividades dudosas.
Se cree que las extensiones maliciosas del navegador han estado activas desde al menos 2021 y se han descargado un total de 2,6 millones de veces.
Microsoft elimina 119 extensiones maliciosas ‘StegoAd’
La campaña fue tan amplia que las extensiones no ocuparon solo una categoría: herramientas de utilidad como bloqueadores de anuncios, VPN, descargadores de videos, traductores y exportadores de PDF eran para extensiones maliciosas.
Esta campaña en particular recibe su nombre del tipo de técnica utilizada: la esteganografía es el nombre para ocultar código malicioso dentro de archivos aparentemente inofensivos. Las imágenes PNG, gráficos SVG y archivos de fuentes tenían JavaScript oculto en su interior para evitar las herramientas antivirus tradicionales y el filtrado web.
Una vez instalados, Microsoft dice que permanecen inactivos durante tres a cinco días para evadir la detección antes de robar las credenciales del navegador, redirigir a los usuarios a sitios web maliciosos, manipular enlaces de afiliados para obtener ganancias financieras, descargar código malicioso adicional y contactar a los servidores C2 para obtener instrucciones actualizadas.
“La campaña StegoAd demuestra que las extensiones del navegador siguen siendo una superficie de ataque poderosa y en evolución”, escribió Microsoft, agregando que incluso sus propias medidas de seguridad pasaron por alto estas extensiones maliciosas.
El informe también afirma que la revisión del código estático por sí sola ya no es suficiente, ya que las extensiones y otras instalaciones pueden descargar código malicioso mucho después de su instalación por primera vez.
Para los propios desarrolladores, Microsoft recomienda ser lo más claro posible sin ofuscar el código, solicitar solo los permisos necesarios para generar confianza e informar suplantaciones sospechosas.
Siga TechRadar en Google News Y Agréguenos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
