🔍 Contexte
Publié le 29 juin 2026 par Malwarebytes, cet article rapporte les conclusions d’une recherche publiée par Microsoft sous le titre Inside StegoAd: How We Disrupted a Massive Malicious Extension Campaign. Microsoft a procédé au retrait de 119 extensions malveillantes du store Edge Add-on, toutes liées à une même campagne d’adware sophistiquée.
🎯 Description de la campagne
La campagne, baptisée StegoAd (contraction de steganography et advertising), a infecté 2,6 millions d’utilisateurs. Les extensions proposaient des fonctionnalités légitimes en apparence : bloqueurs de publicités, VPN, traducteurs, téléchargeurs de vidéos, calculatrices, extensions de coupons, etc.
Après une période de latence (comportement de type sleeper), les extensions activaient discrètement des charges malveillantes supplémentaires.
⚙️ Techniques utilisées
- Stéganographie : dissimulation de code malveillant à l’intérieur d’images
- Activation différée : les extensions attendaient avant de passer en mode malveillant
- Ciblage partiel : seulement ~10% des installations exécutaient la charge utile suivante, rendant la détection plus difficile
- Usurpation de noms : réutilisation de noms d’extensions légitimes connues pour inspirer confiance
- Exécution de JavaScript arbitraire poussé depuis un serveur distant
💥 Charges malveillantes
- Fraude publicitaire (ad fraud)
- Vol de credentials Google et de codes d’authentification à deux facteurs lors de la connexion
- Harvesting de logins WordPress (comptes administrateurs)
- Exfiltration de cookies en masse pour du session hijacking
🌐 Portée
Bien que découverte sur Microsoft Edge, Microsoft précise que les techniques utilisées sont applicables à tous les navigateurs basés sur Chromium.
📋 Type d’article
Article de presse spécialisée relayant une publication de recherche de Microsoft, visant à informer les utilisateurs sur la campagne StegoAd et à fournir la liste complète des extensions malveillantes identifiées (119 extensions avec leurs IDs).
🧠 TTPs et IOCs détectés
TTP
- T1176 — Browser Extensions (Persistence)
- T1027.003 — Obfuscated Files or Information: Steganography (Defense Evasion)
- T1539 — Steal Web Session Cookie (Credential Access)
- T1056.003 — Input Capture: Web Portal Capture (Credential Access)
- T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
- T1583.006 — Acquire Infrastructure: Web Services (Resource Development)
- T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
- T1041 — Exfiltration Over C2 Channel (Exfiltration)
Malware / Outils
- StegoAd (other)
🔴 Indice de vérification factuelle : 30/100 (basse)
- ⬜ malwarebytes.com — source non référencée (0pts)
- ✅ 14390 chars — texte complet (15pts)
- ⬜ aucun IOC extrait (0pts)
- ⬜ pas d’IOC à vérifier (0pts)
- ✅ 8 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://www.malwarebytes.com/blog/news/2026/06/119-edge-extensions-promised-useful-tools-instead-downloaded-malware