微软下架119款Edge扩展程序:恶意代码隐藏于图片与字体文件中

admin 2026-07-02 06:08:58 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 微软下架Edge应用商店119款恶意扩展,该团伙自2021年起将恶意代码隐藏于图片与字体文件中,通过延迟激活、服务端校验等手段规避检测,累计安装量达260万次。插件表面提供广告拦截等正常功能,实则窃取谷歌、WordPress等账号凭证并实施广告欺诈。微软已封禁90余个开发者账号,建议用户检查扩展列表并修改敏感账户密码。 综合评分: 85 文章分类: 恶意软件,网络安全,威胁情报,漏洞分析,应用安全


cover_image

微软下架 119 款 Edge 扩展程序:恶意代码隐藏于图片与字体文件中

鹏鹏同学 鹏鹏同学

黑猫安全

2026年6月30日 08:52 湖北

在小说阅读器读本章

去阅读

微软捣毁了 Edge 应用商店内一个长期运营的恶意扩展团伙。该组织将恶意载荷藏匿在普通图片与字体文件中,插件安装数日之后才会激活,窃取账号凭证并实施广告欺诈。

微软将该攻击活动命名为 StegoAd,由隐写术(steganography)与广告软件(adware)两个词组合而成。经溯源,这 119 款恶意扩展均来自同一个威胁组织,该团伙至少从 2021 年就开始持续作案。

这批插件都是用户会毫不犹豫安装的常用工具:广告拦截器、VPN、翻译软件、视频下载工具。插件基础功能正常可用,还收获了不少好评。恶意代码会长期保持休眠状态,成功绕过多层安全检测,这也是它们能在应用商店内存活数年的原因。

这 119 款扩展累计最高装机量达到 260 万次。微软特别说明,该数值仅为安装上限,不等于实际受害人数。

部分变种设置了多日延迟激活、服务端校验,还有 10% 概率的执行开关,大量安装实例并未真正触发恶意载荷。目前无法统计真正被入侵的用户数量。

将代码隐藏在图片与字体之中

本次攻击的核心手段是隐写技术:把可执行代码嵌入外观完全正常的文件里。早期变种会在 PNG 图片的 IEND 结束标记后追加 JavaScript 脚本,图片可以正常打开,静态查杀工具却很难识别出内嵌的恶意载荷。

随着查杀技术升级,攻击者先后改用 WebP 图片、WOFF2 字体文件,把代码藏在亚洲文字字形区域或是字体元数据里。微软表示,在浏览器扩展生态中,如此大规模使用隐写手段的案例十分罕见。

部分高危变种甚至不在本地打包恶意载荷,而是从命令控制服务器下载一张看似无害的图片。扩展程序会经过大小写变换、数字替换、Base64 编码、异或加密多层解码,校验签名后才执行代码。

C2 服务器会校验客户端指纹与用户代理信息,只向符合条件的请求下发真实恶意文件;安全研究人员直接探测服务器时,只会收到空白诱饵数据。

插件还会监测开发者工具是否被打开,如果发现分析师逆向分析,会进一步延长休眠时间。

表面搞广告欺诈,底层窃取账号凭据

对外显露的主要危害是广告欺诈:强行弹窗植入广告、劫持亚马逊、eBay、速卖通的联盟推广佣金、篡改搜索跳转,在破坏浏览体验的同时非法牟利。

微软对提取出的载荷深入分析后发现,背后还有更严重的后门行为:恶意程序内置远程代码执行后门,可接收服务器下发的任意 JavaScript 指令。它还能盗取谷歌账号密码与二次验证码、窃取 WordPress 管理员账号,并批量导出 Cookie,实现会话劫持。

微软发现,攻击者使用 7 个谷歌分析追踪 ID 作为隐蔽遥测通道,借助谷歌官方服务搭建近乎实时的攻击态势监控面板。

整个攻击架构规模庞大,搭建了十余条支持自动故障转移的 C2 域名。攻击者利用 Cloudflare Workers 代理流量,滥用 GitHub Pages 放置网络信标。

一共有 15 种以上命名变体,总计约 66 款插件共用一套多态代码框架。随着浏览器规范迭代,该团伙也从 Manifest V2 版本平稳升级到 Manifest V3 版本,持续规避平台管控。

处置建议

微软已全面下架这 119 款扩展,并封禁了背后 90 余个开发者账号,完整插件 ID 清单已发布在技术报告中。

操作步骤:打开 edge://extensions 页面,对照清单逐一核对已安装插件。一旦发现对应程序,或是浏览器自动卸载了相关插件,需判定浏览器已遭到入侵。立刻修改谷歌、WordPress、网银等所有敏感账户的密码。

核查近期登录日志,开启高强度双因素认证。硬件安全密钥可以抵御此类凭证窃取攻击,短信验证码无法做到同等防护。微软同步发布了 IOC 指标,适用于 Chrome、火狐及所有基于 Chromium 内核的浏览器。

StegoAd 并非全新攻击团伙,而是旧组织换了新马甲。其窃取到的账号数据会回传到mitarchive.info域名。Koi 安全实验室将该域名关联至 DarkSpectre 组织。该中文团伙在去年 12 月就被曝出发起过 ShadyPanda 与 GhostPoster 恶意扩展攻击。

二者的关联不止域名这一条线索:StegoAd 把代码嵌入插件图标,和数月前 GhostPoster 使用的技术手段完全一致,甚至共用 “Ads Block Ultimate” 这类插件名称。

微软尚未公开组织真实身份,但技术重合度已非常明确,该攻击者至今仍在持续活跃。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:黑猫安全 鹏鹏同学 鹏鹏同学《微软下架 119 款 Edge 扩展程序:恶意代码隐藏于图片与字体文件中》

评论:0   参与:  0