119个扩展程序,260万受害者:微软发现边缘存储发生大规模攻击

病毒隐藏在天气小部件和广告拦截器中。

来源:安全实验室新闻频道

119个扩展程序,260万受害者:微软发现边缘存储发生大规模攻击

病毒隐藏在天气小部件和广告拦截器中。

在官方 Microsoft Edge 商店中发现了一个恶意扩展网络,这些扩展将自己伪装成有用的工具,并与常规附加组件一起运行多年。在广告拦截器、天气小部件、视频下载器、PDF 工具、调色板和人工智能服务的幌子下,分发程序来窃取凭据、引入浏览器后门以及在搜索中诈骗广告和附属程序。微软的安全团队删除了 119 个扩展,并在另一份报告中描述了一项名为 StegoAd 的操作。

即使对于浏览器插件市场来说,该活动的规模也是不同寻常的。这些恶意扩展是通过 90 多个开发者帐户发布的,但使用了通用基础设施和重叠的代码片段。伪装的主要方法是隐写术:攻击者将命令和恶意代码隐藏在看似普通的文件中,以便安全系统无法立即看到危险部分。

StegoAd 不仅限于 Edge。据微软称,该活动的运营者还发布了 Chrome 和 Firefox 的扩展程序,该组织的活动至少可以追溯到 2021 年。攻击者能够将旧的 Manifest V2 标准的开发转移到新的 Manifest V3,尽管 Manifest V3 的创建目的之一是提高浏览器插件的安全性。

恶意代码的延迟激活会增加风险。安装后,该扩展最初的行为就像常规工具一样,并执行其规定的功能。恶意组件仅在三到五天后启动,因此扫描系统可能没有注意到攻击的第二阶段,而用户有时间习惯该附加组件。