L’équipe chargée de la sécurité des extensions de Microsoft Edge a mis au jour et neutralisé une campagne malveillante d’une ampleur inédite pour le navigateur. Baptisée StegoAd, elle impliquait 119 extensions frauduleuses, distribuées via plus de 90 comptes de développeurs, et cumulant jusqu’à 2,6 millions d’installations. Tous les comptes et extensions ont été suspendus.
Des extensions qui semblaient légitimes
Pour passer inaperçues, ces extensions imitaient des outils courants : bloqueurs de publicités, VPN, traducteurs ou téléchargeurs de vidéos. Chacune offrait une fonctionnalité réelle, ce qui lui permettait de recueillir des avis positifs et d’éviter les soupçons. Le code malveillant, lui, ne s’activait qu’après un délai de trois à cinq jours suivant l’installation, une période suffisante pour échapper à l’analyse automatique dans les environnements de bac à sable. En outre, le déclenchement était probabiliste et soumis à une validation côté serveur : les chercheurs qui tentaient une analyse directe obtenaient des réponses vides.
La stéganographie comme technique de dissimulation
Le nom de la campagne, StegoAd, est construit à partir de deux termes : stéganographie — l’art de cacher des données dans un fichier anodin — et adware, la fraude publicitaire. Les pirates dissimulaient le code malveillant dans des fichiers d’apparence inoffensive, principalement des images PNG et des polices de caractères. Pour extraire la charge utile, le navigateur devait appliquer une série de transformations : inversions de casse, substitutions de chiffres, décodage Base64 et opérations XOR. Une signature permettait ensuite de valider l’exécution.
L’attribution à un même groupe
Malgré la multiplicité des comptes de développeurs, les enquêteurs ont pu rattacher l’ensemble des extensions à un seul et même groupe, actif depuis au moins 2021. Plusieurs indices concordent : infrastructure partagée (mêmes serveurs de commande et de contrôle avec des motifs d’URL identiques), empreintes de code communes (algorithmes de hachage et chaînes de débogage), comportement opérationnel (recréation rapide des comptes après suspension) et identifiants de monétisation uniques (un même identifiant d’éditeur AdSense et des propriétés Google Analytics identiques). Les métadonnées des développeurs montraient également des schémas d’inscription similaires et une réutilisation d’informations.
Une capacité bien au-delà de la fraude publicitaire
Si l’objectif premier était la fraude publicitaire — injection d’annonces non sollicitées, détournement de commissions d’affiliation sur des sites comme Amazon, eBay et AliExpress, redirection de résultats de recherche — les analyses dynamiques ont révélé des fonctionnalités bien plus graves. Les charges utiles récupérées permettaient le vol d’identifiants (notamment pour Google et WordPress), la collecte de cookies, et l’installation d’une porte dérobée offrant une exécution de code à distance. Cette porte dérobée pouvait télécharger et exécuter des programmes supplémentaires après l’infection initiale, transformant ainsi chaque machine compromise en un point d’entrée potentiel pour d’autres attaques.
Une campagne évolutive
Microsoft souligne que le groupe derrière StegoAd a constamment adapté ses techniques pour contourner les détections. L’infrastructure multi-couche et les méthodes de dissimulation élaborées ont permis à la campagne de se maintenir pendant plusieurs années. L’équipe de sécurité des extensions a publié un rapport détaillant l’ensemble de la chaîne d’attaque, depuis l’imitation dans la boutique jusqu’à la monétisation, en cartographiant les étapes avec le cadre MITRE ATT&CK.
Mesures de protection
Les utilisateurs de Microsoft Edge n’ont plus à craindre ces extensions spécifiques, puisque toutes ont été supprimées. Cependant, la sophistication de la campagne rappelle la nécessité de rester vigilant : il est conseillé de n’installer que des extensions provenant de développeurs de confiance, de surveiller les permissions accordées et de maintenir le navigateur à jour. L’équipe de sécurité continue de traquer les menaces émergentes pour protéger les internautes.
