A Microsoft removeu 119 extensões maliciosas da loja oficial do Edge que esconderam código dentro de imagens e fontes durante cinco anos. Batizada de StegoAd, a operação atingiu até 2,6 milhões de instalações, roubou senhas do Google, códigos de segunda etapa e cookies de sessão, e desviou comissões de afiliados da Amazon, eBay e AliExpress.

O nome junta esteganografia (ocultar dados em arquivos aparentemente normais) e adware. Em reportagem publicada neste domingo (29), o The Hacker News confirma que a Microsoft suspendeu mais de 90 contas de desenvolvedor ligadas ao mesmo atacante. O caso mostra que a loja oficial do navegador não era uma zona segura — e que extensões populares como bloqueadores de anúncios, VPNs, tradutores e baixadores de vídeo foram usados como isca.

A campanha que durou cinco anos

Segundo o relatório técnico da equipe de Pesquisa de Vulnerabilidades do Microsoft Edge, o grupo opera desde pelo menos 2021 e manteve as extensões no ar por anos sem ser detectado. A tática era simples no conceito e sofisticada na execução: cada extensão entregava a função prometida, conquistava avaliações positivas e só acordava o payload malicioso dias depois da instalação.

As 119 extensões somavam até 2,6 milhões de instalações. A própria Microsoft faz questão de avisar que esse é um teto, não um número de vítimas: o código malicioso só disparava depois de passar por vários portões de evasão, incluindo um atraso de três a cinco dias, validação no servidor e um gate probabilístico de 10% em algumas variantes. Ou seja, muita gente instalou e nunca foi efetivamente atacada — mas quem foi, foi de verdade.

Código dentro de imagens e fontes

O truque que dá nome à campanha é a esteganografia. As versões mais antigas anexavam JavaScript depois do marcador IEND de um ícone PNG, então a imagem abria normalmente em qualquer visualizador enquanto carregava um payload que scanners estáticos ignoravam. Quando a detecção melhorou, o grupo migrou para imagens WebP e depois para arquivos de fonte WOFF2, escondendo código em intervalos de glifos que pareciam texto asiático ou em metadados de fonte.

As variantes mais agressivas nem sequer traziam o payload dentro do pacote. A extensão buscava uma imagem comum em um servidor de comando e controle, decodificava o conteúdo em camadas — troca de maiúsculas, troca de dígitos, Base64 e XOR — e só executava depois de conferir uma assinatura. O servidor só entregava o arquivo real para requisições que passassem por uma checagem de impressão digital e de User-Agent; pesquisadores que tentavam sondar diretamente recebiam uma resposta vazia. As extensões também detectavam o DevTools aberto e alongavam a dormência se percebessem um analista olhando.

O que as extensões roubavam

Na superfície, o dano parecia fraude de anúncios: anúncios injetados, comissões de afiliado desviadas em Amazon, eBay e AliExpress e resultados de busca redirecionados. A análise dinâmica feita pela Microsoft, porém, revelou um kit bem mais perigoso por baixo dessa fachada:

  • Backdoor de execução remota de código: rodava qualquer JavaScript enviado pelo servidor, abrindo a porta para novos ataques a qualquer momento.
  • Roubo de credenciais do Google e códigos 2FA: interceptava senha e segunda etapa no momento do login, viabilizando tomada de conta mesmo com autenticação em dois fatores.
  • Cookies em massa: exfiltrava cookies do navegador a uma taxa controlada, permitindo sequestro de sessão sem precisar da senha.
  • Credenciais de admin do WordPress: coletava logins de administrador e usava rankings de tráfego para priorizar alvos mais valiosos.
  • Telemetria oculta: sete IDs do Google Analytics serviam como painel quase em tempo real para o operador, usando a própria infraestrutura do Google.

O Security Affairs ressalva que o conjunto de módulos entregues pelo backdoor — dez capacidades distintas — transforma cada vítima em um ativo reutilizável pelo atacante. O padrão não é inédito: meses antes, uma extensão do Chrome com mais de 10 milhões de instalações também escondia um backdoor sob aparência inofensiva.

Por que a loja não barrava

A explicação está na combinação de paciência e engenharia. A Microsoft atribui as 119 extensões a um único ator por cinco sinais convergentes: infraestrutura compartilhada (mesmos domínios e padrões de URL), impressões digitais de código (algoritmos de hash e strings de debug idênticos), comportamento operacional (recriação rápida de contas após suspensão), um único publisher ID do AdSense e as mesmas propriedades do Google Analytics e metadados de desenvolvedor reutilizados.

A infraestrutura era robusta: mais de dez domínios de comando e controle com failover automático, tráfego proxyado por Cloudflare Workers e beacons hospedados no GitHub Pages. O framework era polimórfico, rodando em cerca de 66 extensões sob mais de 15 variantes de nome, e migrou de Manifest V2 para V3 conforme a plataforma mudou — prova de que o grupo acompanhava de perto a evolução do navegador.

Quem está por trás do StegoAd

A Microsoft não nomeou o ator, mas a pista mais forte vem do domínio mitarchive.info, para onde o payload exfiltra dados. A TechNadu e outras análises apontam que a empresa Koi Security vincula esse domínio à DarkSpectre, operação chinesa ligada em dezembro às campanhas das extensões ShadyPanda e GhostPoster. A semelhança vai além do endereço: StegoAd esconde código dentro do ícone da própria extensão, o mesmo método usado pelo GhostPoster meses antes, e as duas campanhas compartilham até nomes de extensão, como “Ads Block Ultimate”.

A Microsoft é direta ao afirmar que o operador segue ativo. A remoção das 119 extensões e a suspensão das contas são um golpe importante, mas não encerram a ameaça — quem estava acostumado a recriar perfis após suspensões provavelmente fará isso de novo.

Como saber se você foi afetado

O primeiro passo é abrir edge://extensions e comparar os complementos instalados com a lista pública de IDs que a Microsoft publicou no relatório técnico. Se algo bate, ou se o Edge removeu automaticamente uma extensão nos últimos dias, trate o navegador como comprometido — mesmo que nada tenha parecido estranho.

É importante entender que a extensão pode ter funcionado normalmente por anos sem disparar o payload. A ausência de comportamento estranho não significa ausência de infecção. O gate de execução probabilístico e a validação no servidor foram projetados justamente para que a maioria dos usuários nunca notasse nada.

O que fazer para se proteger

Quem confirma a presença de uma das extensões precisa agir como se as credenciais já estivessem vazadas. As recomendações da Microsoft e de analistas convergem em um roteiro claro:

  1. Troque senhas de Google, WordPress, serviços bancários e qualquer conta sensível usada no navegador afetado.
  2. Revise atividade de login recente nessas contas e encerre sessões ativas em dispositivos desconhecidos.
  3. Ative autenticação em dois fatores forte. Chaves de segurança por hardware (como YubiKey) resistem ao roubo de códigos de uma forma que o SMS não consegue — e este caso mostra exatamente por que o SMS sozinho é frágil.
  4. Revise a lista de extensões e desinstale tudo que não reconhece ou não usa mais. Menos extensões, menos superfície de ataque.
  5. Instale apenas de fontes verificadas e pesquise o desenvolvedor antes de adicionar qualquer complemento, mesmo na loja oficial.

A Microsoft também publicou indicadores de comprometimento válidos para Chrome, Firefox e outros navegadores baseados em Chromium. A lição maior do StegoAd, porém, é estrutural: a loja oficial é um filtro, não uma garantia, e uma extensão com boas avaliações pode ser exatamente o problema.

Leia também

Referências