潜伏数年,感染260万用户!扒一扒高智商黑产“StegoAd”的教科书级免杀手法

admin 2026-07-04 04:47:53 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 微软近期从Edge插件商店移除119款名为Stegoad的恶意扩展,其通过PNG、WebP及WOFF2文件隐写术植入恶意代码,采用灰度执行、反调试、C2指纹校验与多层解码等复杂免杀技术,并滥用CloudflareWorkers、GitHubPages及GoogleAnalytics等基础设施构建僵尸网络,窃取凭据、会话并植入RCE后门,已感染约260万用户。建议用户检查并移除可疑扩展、重置核心密码并采用硬件安全密钥替代短信验证码。 综合评分: 88 文章分类: 恶意软件,免杀,web安全,渗透测试,应急响应


cover_image

潜伏数年,感染260万用户!扒一扒高智商黑产“StegoAd”的教科书级免杀手法

原创

Hankzheng Hankzheng

技术修道场

2026年7月3日 08:04 广东

在小说阅读器读本章

去阅读

我最近在刷安全圈动态时,看到微软重拳出击,一口气端掉了Edge Add-ons商店里的119款恶意扩展程序。粗略一算,这批插件的潜在感染量高达260万

你可能会说:“不就是恶意插件吗?有什么稀奇的。”

但仔细研究完微软的报告后,我直呼内行——这批被称为 StegoAd(Steganography 隐写术 + Adware 广告软件)的恶意扩展,其技术栈和免杀思路简直是“教科书级别”的。它们伪装成大家闭着眼睛都会装的广告拦截器、VPN、翻译工具和视频下载器,通过极其隐蔽的技术路径在官方商店潜伏了数年之久。

今天,我就给大家硬核扒一扒,这群黑客是如何把恶意代码塞进图片里,又是如何把安全研究员耍得团团转的。

01 核心技术突破:从PNG到WOFF2的“隐写术”降维打击

为什么这些插件能在商店里活这么久?答案是隐写术(Steganography)

大家都知道,现在的静态代码扫描工具非常强大,明文的恶意JS代码根本活不过机审。于是,StegoAd 的作者玩了一手暗度陈仓:把可执行代码藏进看起来完全正常的静态资源文件中。

  • 早期变种(PNG图片隐写):

    攻击者非常巧妙地将恶意 JavaScript 代码追加到了 PNG 图标文件的 IEND 数据块(图像结束标记)之后。由于操作系统和浏览器在渲染图片时,读到 IEND 就会停止解析,所以这破图片不管在哪看都是正常的,完全不会引起怀疑,而静态扫描器也因此被成功绕过。

  • 后期进化(WebP与WOFF2字体投毒):

    随着杀软检测能力的提升,这帮人开始进行技术迭代,将目标转向了 WebP 图片和 WOFF2 字体文件。他们把恶意代码隐藏在字体文件中被识别为“亚洲文本”的字形范围(Glyph ranges)内,或者干脆藏在字体的元数据中。微软在报告中也坦言,这种规模的隐写术在浏览器扩展生态中是极其罕见的。

02 极致的免杀与反调试:跟分析师玩“躲猫猫”

除了隐写术,StegoAd 最让我惊叹的是其复杂的动态加载和反侦察机制。它们简直把“苟且偷生”发挥到了极致。

技术难点:如何确保Payload在沙箱和安全分析师环境中绝对不触发?

  1. 超长潜伏期与灰度执行:

    插件安装后并不会立刻作妖,而是会休眠数天。更绝的是,部分变种甚至加入了“10% 灰度执行门槛”——这意味着有90%的安装实例永远只是个正常的插件。

  2. DevTools 监听:

    核心逻辑里写了检测浏览器开发者工具(F12)是否打开的代码。一旦发现有安全分析师在用 DevTools 抓包调试,插件立马“装死”,延长休眠期。

  3. C2 服务器端的指纹校验与“空包弹”:

    高级变种甚至不会把 Payload 打包在本地。它们会向 C2(命令与控制)服务器请求一张看似正常的图片。 难点解析: 如果你作为安全研究员,直接去请求这个图片的 URL,服务器会通过 User-Agent 和复杂的客户端指纹进行校验。验证失败?它就真的只返回一张毫无用处的诱饵图片(Decoy response)。

  4. 套娃式解码(Payload Decoding):

    只有通过了重重校验,真正的 Payload 才会下发。扩展在拿到图片后,会进行一系列令人眼花缭乱的解码操作:大小写转换 -> 数字转换 -> Base64解码 -> XOR(异或)解密。最后还要对解密出来的代码进行签名比对(Signature Check),全部吻合后才通过 eval() 等方式在内存中执行。

03 武器库与基础设施:白嫖大厂的高端局

你以为他们费这么大劲,只是为了弹几个广告?格局小了。

表面上看,可见的损害是广告欺诈:注入垃圾广告、劫持 Amazon/eBay/AliExpress 的电商返利链接。但这只是为了赚快钱,底层其实隐藏着一个庞大的僵尸网络:

  • 高危 RCE 后门:

    解码后的 Payload 包含一个远程代码执行(RCE)后门,C2 服务器随时可以下发任意 JavaScript 在受害者的浏览器上下文中运行。

  • 高价值凭据窃取:

    监控登录动作,窃取 Google 账号密码甚至2FA(双因素认证)验证码;批量采集 WordPress 管理员账号;大批量外发 Cookie 进行会话劫持(Session Hijacking)。

在基础设施层面,这帮黑产更是把“白嫖”玩出了花: 为了保证高可用性,他们配置了十几个具有自动故障转移(Failover)的 C2 域名;通过 Cloudflare Workers 代理恶意流量隐藏真实 IP;甚至滥用 GitHub Pages 来托管 Beacon(信标)。最骚的操作是,他们居然用了 7 个 Google Analytics (GA) 的跟踪 ID 来做隐蔽遥测,直接利用谷歌自家的基础设施,给自己搭建了一个实时的战情看板!

04 溯源与防范:幕后黑手竟是老熟人?

目前,微软已经移除了这119款扩展,并封禁了背后的90多个开发者账号。虽然微软没有直接点名,但安全圈已经把幕后黑手扒得差不多了。

通过提取出的 Payload 发现,其凭据外发域名为 mitarchive.info。Koi Security 曾在去年12月指出,这个域名归属于一个名为 DarkSpectre 的中国黑客组织(该组织也主导过 ShadyPanda 和 GhostPoster 扩展攻击行动)。不管是把代码藏在扩展图标里,还是共用“Ads Block Ultimate”这种插件名称,手法简直如出一辙。

作为IT从业者,我们该如何自查?

  1. 立刻打开你的 Edge 浏览器,输入 edge://extensions 检查你的插件列表。如果发现有被自动移除的插件,请直接将该浏览器环境视为已失陷

  2. 重置你的 Google、WordPress、网银及其他核心系统的密码。

  3. 淘汰短信验证码!

    面对这种直接在浏览器端窃取 Session 和动态令牌的攻击,传统的 SMS 短信验证码极其脆弱。强烈建议改用基于硬件的安全密钥(Hardware security keys,如 YubiKey,基于 FIDO2 协议)。

这次事件再次给我们敲响了警钟:在高度复杂的网络攻防中,看似人畜无害的扩展程序,往往是最容易被忽视的“阿喀琉斯之踵”。

兄弟们,你平时在用哪些冷门的浏览器插件?有没有觉得系统或浏览器最近莫名变卡的?在评论区聊聊,大家一起避避坑!


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:技术修道场 Hankzheng Hankzheng《潜伏数年,感染260万用户!扒一扒高智商黑产“StegoAd”的教科书级免杀手法》

    评论:0   参与:  0