119 Extensões Maliciosas no Edge Ocultavam Malware em Imagens e Fontes
Especialistas da Microsoft alertam sobre a campanha StegoAd, que distribuiu extensões maliciosas no Edge Store, disfarçando malware em imagens e fontes. As extensões realizavam fraudes publicitárias, roubavam credenciais e podiam executar JavaScript remotamente.
MundiX News·02 de julho de 2026·6 min de leitura·👁 1 views
Especialistas da Microsoft emitiram um alerta sobre uma campanha maliciosa denominada StegoAd, cujos operadores distribuíam malware através da loja oficial de extensões do Microsoft Edge. O código malicioso era habilmente ocultado dentro de arquivos de imagem e fontes comuns, sendo ativado somente dias após a instalação. As extensões comprometidas estavam envolvidas em fraudes publicitárias, roubo de credenciais de usuários e possuíam a capacidade de executar JavaScript remotamente nos navegadores das vítimas.
O nome StegoAd é uma referência direta à esteganografia, a arte de ocultar dados dentro de outros arquivos de forma imperceptível. As primeiras versões dessas extensões maliciosas inseriam código JavaScript logo após o marcador IEND em ícones PNG. Essa técnica permitia que as imagens fossem exibidas normalmente, enquanto o código oculto passava despercebido pelas soluções de segurança. Os pesquisadores associaram a esta campanha um total de 119 extensões, publicadas sob mais de 90 contas de desenvolvedores. O portfólio dessas extensões incluía bloqueadores de anúncios, VPNs, tradutores e utilitários para download de vídeos. Notavelmente, todas as extensões cumpriam suas funções declaradas, recebiam avaliações positivas e não apresentavam qualquer atividade suspeita por um longo período, o que facilitava sua proliferação.
O número total de instalações dessas extensões somou aproximadamente 2,6 milhões. No entanto, a Microsoft enfatiza que este número não representa o total exato de usuários afetados. Algumas variantes do malware só eram ativadas em cerca de 10% dos dispositivos e, antes de serem executadas, passavam por uma verificação no servidor e uma pausa de vários dias. Com o tempo, os atacantes evoluíram suas técnicas, migrando da ocultação de código em PNG para o uso de formatos como WebP e fontes WOFF2. Nesses casos, as cargas úteis (payloads) eram disfarçadas como caracteres asiáticos e metadados de serviço. Algumas extensões baixavam uma imagem aparentemente inofensiva de um servidor de comando e controle (C&C), que era então decifrada através de manipulações como alteração de maiúsculas/minúsculas, substituição de dígitos, Base64 e XOR. Somente após uma verificação bem-sucedida do código decifrado contra uma assinatura específica, o malware era executado. Os servidores C&C dos atacantes eram configurados para responder apenas a requisições com um 'fingerprint' e 'User-Agent' específicos, apresentando uma resposta vazia ('placeholder') para acessos diretos dos pesquisadores. Adicionalmente, as extensões verificavam a presença de ferramentas de desenvolvedor abertas no navegador, entrando em modo de espera caso detectassem tentativas de análise.
As extensões StegoAd foram primariamente utilizadas para fins como a substituição de resultados de busca, injeção de anúncios e o sequestro de links de afiliados em plataformas como Amazon, eBay e AliExpress, com o objetivo de obter comissões. Contudo, alguns payloads continham funcionalidades mais perigosas. Por exemplo, o malware era capaz de interceptar credenciais do Google e códigos de autenticação de dois fatores (2FA), roubar nomes de usuário e senhas de administradores do WordPress, além de roubar em massa cookies de sessão para sequestrar contas. Um backdoor embutido nas extensões permitia a execução de JavaScript arbitrário, recebido do servidor dos hackers, diretamente no navegador da vítima. A infraestrutura dos criminosos incluía mais de dez domínios C&C com alternância automática, o tráfego era redirecionado via Cloudflare Workers e o GitHub Pages era utilizado para hospedar 'beacons'. Em um determinado momento, os atacantes chegaram a migrar do Manifest V2 para o Manifest V3 do Chrome. Atualmente, todas as 119 extensões foram removidas da loja oficial e as contas associadas foram bloqueadas. Recomenda-se aos usuários que verifiquem a lista de add-ons instalados em edge://extensions. Caso o navegador tenha removido automaticamente uma das extensões StegoAd, ela deve ser considerada comprometida. As vítimas são aconselhadas a alterar suas credenciais em contas Google, WordPress, bancárias e outras contas importantes, verificar o histórico de logins e ativar a autenticação de dois fatores.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Especialistas da Microsoft emitiram um alerta sobre uma campanha maliciosa denominada StegoAd, cujos operadores distribuíam malware através da loja oficial de extensões do Microsoft Edge. O código malicioso era habilmente ocultado dentro de arquivos de imagem e fontes comuns, sendo ativado somente dias após a instalação. As extensões comprometidas estavam envolvidas em fraudes publicitárias, roubo de credenciais de usuários e possuíam a capacidade de executar JavaScript remotamente nos navegadores das vítimas.
O nome StegoAd é uma referência direta à esteganografia, a arte de ocultar dados dentro de outros arquivos de forma imperceptível. As primeiras versões dessas extensões maliciosas inseriam código JavaScript logo após o marcador IEND em ícones PNG. Essa técnica permitia que as imagens fossem exibidas normalmente, enquanto o código oculto passava despercebido pelas soluções de segurança. Os pesquisadores associaram a esta campanha um total de 119 extensões, publicadas sob mais de 90 contas de desenvolvedores. O portfólio dessas extensões incluía bloqueadores de anúncios, VPNs, tradutores e utilitários para download de vídeos. Notavelmente, todas as extensões cumpriam suas funções declaradas, recebiam avaliações positivas e não apresentavam qualquer atividade suspeita por um longo período, o que facilitava sua proliferação.
O número total de instalações dessas extensões somou aproximadamente 2,6 milhões. No entanto, a Microsoft enfatiza que este número não representa o total exato de usuários afetados. Algumas variantes do malware só eram ativadas em cerca de 10% dos dispositivos e, antes de serem executadas, passavam por uma verificação no servidor e uma pausa de vários dias. Com o tempo, os atacantes evoluíram suas técnicas, migrando da ocultação de código em PNG para o uso de formatos como WebP e fontes WOFF2. Nesses casos, as cargas úteis (payloads) eram disfarçadas como caracteres asiáticos e metadados de serviço. Algumas extensões baixavam uma imagem aparentemente inofensiva de um servidor de comando e controle (C&C), que era então decifrada através de manipulações como alteração de maiúsculas/minúsculas, substituição de dígitos, Base64 e XOR. Somente após uma verificação bem-sucedida do código decifrado contra uma assinatura específica, o malware era executado. Os servidores C&C dos atacantes eram configurados para responder apenas a requisições com um 'fingerprint' e 'User-Agent' específicos, apresentando uma resposta vazia ('placeholder') para acessos diretos dos pesquisadores. Adicionalmente, as extensões verificavam a presença de ferramentas de desenvolvedor abertas no navegador, entrando em modo de espera caso detectassem tentativas de análise.
As extensões StegoAd foram primariamente utilizadas para fins como a substituição de resultados de busca, injeção de anúncios e o sequestro de links de afiliados em plataformas como Amazon, eBay e AliExpress, com o objetivo de obter comissões. Contudo, alguns payloads continham funcionalidades mais perigosas. Por exemplo, o malware era capaz de interceptar credenciais do Google e códigos de autenticação de dois fatores (2FA), roubar nomes de usuário e senhas de administradores do WordPress, além de roubar em massa cookies de sessão para sequestrar contas. Um backdoor embutido nas extensões permitia a execução de JavaScript arbitrário, recebido do servidor dos hackers, diretamente no navegador da vítima. A infraestrutura dos criminosos incluía mais de dez domínios C&C com alternância automática, o tráfego era redirecionado via Cloudflare Workers e o GitHub Pages era utilizado para hospedar 'beacons'. Em um determinado momento, os atacantes chegaram a migrar do Manifest V2 para o Manifest V3 do Chrome. Atualmente, todas as 119 extensões foram removidas da loja oficial e as contas associadas foram bloqueadas. Recomenda-se aos usuários que verifiquem a lista de add-ons instalados em edge://extensions. Caso o navegador tenha removido automaticamente uma das extensões StegoAd, ela deve ser considerada comprometida. As vítimas são aconselhadas a alterar suas credenciais em contas Google, WordPress, bancárias e outras contas importantes, verificar o histórico de logins e ativar a autenticação de dois fatores.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.