🔍 Contexte

Publié le 29 juin 2026 par Malwarebytes, cet article rapporte les conclusions d’une recherche publiée par Microsoft sous le titre Inside StegoAd: How We Disrupted a Massive Malicious Extension Campaign. Microsoft a procédé au retrait de 119 extensions malveillantes du store Edge Add-on, toutes liées à une même campagne d’adware sophistiquée.

🎯 Description de la campagne

La campagne, baptisée StegoAd (contraction de steganography et advertising), a infecté 2,6 millions d’utilisateurs. Les extensions proposaient des fonctionnalités légitimes en apparence : bloqueurs de publicités, VPN, traducteurs, téléchargeurs de vidéos, calculatrices, extensions de coupons, etc.

Après une période de latence (comportement de type sleeper), les extensions activaient discrètement des charges malveillantes supplémentaires.

⚙️ Techniques utilisées

  • Stéganographie : dissimulation de code malveillant à l’intérieur d’images
  • Activation différée : les extensions attendaient avant de passer en mode malveillant
  • Ciblage partiel : seulement ~10% des installations exécutaient la charge utile suivante, rendant la détection plus difficile
  • Usurpation de noms : réutilisation de noms d’extensions légitimes connues pour inspirer confiance
  • Exécution de JavaScript arbitraire poussé depuis un serveur distant

💥 Charges malveillantes

  • Fraude publicitaire (ad fraud)
  • Vol de credentials Google et de codes d’authentification à deux facteurs lors de la connexion
  • Harvesting de logins WordPress (comptes administrateurs)
  • Exfiltration de cookies en masse pour du session hijacking

🌐 Portée

Bien que découverte sur Microsoft Edge, Microsoft précise que les techniques utilisées sont applicables à tous les navigateurs basés sur Chromium.

📋 Type d’article

Article de presse spécialisée relayant une publication de recherche de Microsoft, visant à informer les utilisateurs sur la campagne StegoAd et à fournir la liste complète des extensions malveillantes identifiées (119 extensions avec leurs IDs).

🧠 TTPs et IOCs détectés

TTP

  • T1176 — Browser Extensions (Persistence)
  • T1027.003 — Obfuscated Files or Information: Steganography (Defense Evasion)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1056.003 — Input Capture: Web Portal Capture (Credential Access)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1583.006 — Acquire Infrastructure: Web Services (Resource Development)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)

Malware / Outils

  • StegoAd (other)

🔴 Indice de vérification factuelle : 30/100 (basse)

  • ⬜ malwarebytes.com — source non référencée (0pts)
  • ✅ 14390 chars — texte complet (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.malwarebytes.com/blog/news/2026/06/119-edge-extensions-promised-useful-tools-instead-downloaded-malware

🖴 Archive : https://web.archive.org/web/20260702071721/https://www.malwarebytes.com/blog/news/2026/06/119-edge-extensions-promised-useful-tools-instead-downloaded-malware