Корпорація Microsoft офіційно оголосила про примусове видалення 119 шкідливих розширень із офіційного магазину Edge Add-ons, які загалом були завантажені користувачами 2,6 мільйона разів. За даними розробника браузера, ці додатки діяли щонайменше з 2021 року, маскуючись під корисні інструменти на кшталт блокувальників реклами, сервісів для перекладу мов, VPN-клієнтів або конвертерів PDF-файлів. Окрім видалення програмного забезпечення, компанія була змушена заблокувати понад 90 облікових записів розробників, які безпосередньо причетні до цієї кампанії.

Технічна особливість цієї схеми, яку фахівці назвали StegoAd, полягала у використанні стеганографії для обходу систем захисту магазину. Зловмисники ховали фрагменти шкідливого коду JavaScript безпосередньо всередині графічних файлів форматів PNG та SVG, а також у файлах шрифтів. Оскільки традиційні антивірусні інструменти та автоматичні сканери часто ігнорують вміст таких невинних на вигляд медіа-даних, шкідливий контент спокійно проходив перевірку та потрапляв на пристрої нічого не підозрюючих користувачів через офіційний канал розповсюдження Microsoft.
Сама шкідлива активність починалася не миттєво, а лише через три-п’ять днів після встановлення розширення, що було спеціальним заходом для уникнення виявлення під час початкового автоматичного аналізу. Після активації програми починали красти облікові дані користувачів, примусово перенаправляли їх на сумнівні вебсайти, непомітно підміняли партнерські посилання для власного фінансового збагачення або завантажували на комп’ютер додаткові шкідливі модулі, підтримуючи постійний зв’язок із командними серверами для отримання подальших інструкцій щодо злочинної діяльності.
Цей випадок вчергове доводить, що звична практика статичного аналізу програмного коду при публікації в магазинах додатків більше не здатна забезпечити безпеку сучасних браузерів. Оскільки розширення можуть завантажувати зовнішній код вже після проходження перевірки, захист стає малоефективним, а користувачі залишаються вразливими. Microsoft публічно визнала, що власні запобіжні заходи не змогли вчасно зупинити цей багаторічний потік шкідливого програмного забезпечення, поставивши під сумнів надійність всього сучасного процесу модерації цифрових товарів для браузера.
Щоб не стати жертвою подібних маніпуляцій, користувачам слід мінімізувати кількість встановлених розширень та ретельно перевіряти список наданих їм дозволів під час інсталяції. Якщо розширення запитує необґрунтований доступ до всіх сайтів або особистих даних, це є прямою ознакою потенційної загрози. Також важливо періодично переглядати перелік встановлених програм і видаляти ті, якими ви не користуєтесь регулярно, адже будь-яке стороннє розширення автоматично стає каналом для витоку вашої приватної інформації в мережу.


