Корпорация Microsoft официально объявила о принудительном удалении 119 вредоносных расширений из официального магазина Edge Add-ons, которые в общей сложности были загружены пользователями 2,6 миллиона раз. По данным разработчика браузера, эти приложения действовали как минимум с 2021 года, маскируясь под полезные инструменты вроде блокировщиков рекламы, сервисов для перевода языков, VPN-клиентов или конвертеров PDF-файлов. Кроме удаления программного обеспечения, компания была вынуждена заблокировать более 90 учетных записей разработчиков, которые непосредственно причастны к этой кампании.

Техническая особенность этой схемы, которую специалисты назвали StegoAd, заключалась в использовании стеганографии для обхода систем защиты магазина. Злоумышленники прятали фрагменты вредоносного кода JavaScript непосредственно внутри графических файлов форматов PNG и SVG, а также в файлах шрифтов. Поскольку традиционные антивирусные инструменты и автоматические сканеры часто игнорируют содержимое таких невинных на вид медиаданных, вредоносный контент спокойно проходил проверку и попадал на устройства ничего не подозревающих пользователей через официальный канал распространения Microsoft.
Сама вредоносная активность начиналась не мгновенно, а только через три-пять дней после установки расширения, что было специальной мерой для избежания обнаружения во время начального автоматического анализа. После активации программы начинали красть учетные данные пользователей, принудительно перенаправляли их на сомнительные веб-сайты, незаметно подменяли партнерские ссылки для собственного финансового обогащения или загружали на компьютер дополнительные вредоносные модули, поддерживая постоянную связь с командными серверами для получения дальнейших инструкций относительно преступной деятельности.
Этот случай в очередной раз доказывает, что привычная практика статического анализа программного кода при публикации в магазинах приложений больше не способна обеспечить безопасность современных браузеров. Поскольку расширения могут загружать внешний код уже после прохождения проверки, защита становится малоэффективной, а пользователи остаются уязвимыми. Microsoft публично признала, что собственные меры предосторожности не смогли вовремя остановить этот многолетний поток вредоносного программного обеспечения, поставив под сомнение надежность всего современного процесса модерации цифровых товаров для браузера.
Чтобы не стать жертвой подобных манипуляций, пользователям следует минимизировать количество установленных расширений и тщательно проверять список предоставленных им разрешений во время инсталляции. Если расширение запрашивает необоснованный доступ ко всем сайтам или личным данным, это является прямым признаком потенциальной угрозы. Также важно периодически просматривать перечень установленных программ и удалять те, которыми вы не пользуетесь регулярно, ведь любое стороннее расширение автоматически становится каналом для утечки вашей частной информации в сеть.


