119 ondsindede Edge-udvidelser skjulte malware i billeder og fonte
Microsoft har fjernet 119 ondsindede browserudvidelser fra Edge Add-ons, som i årevis har skjult malware i tilsyneladende harmløse billed- og fontfiler. Kampagnen, døbt StegoAd, kombinerer steganografi og adware – og peger på en aktør, der har været aktiv siden mindst 2021.
Det skriver The Hacker News og en række andre medier.
Skjult i almindelige filer
Kernen i kampagnen er steganografi: skadelig kode gemt i filer, der fremstår legitime. Tidlige varianter skjulte JavaScript i PNG-billeder, mens senere versioner flyttede payloads til WebP-filer og WOFF2-fonte.
I nogle tilfælde blev payloaden slet ikke leveret lokalt. I stedet hentede udvidelsen et tilsyneladende normalt billede fra en C2-server, dekodede det gennem flere lag obfuskering og eksekverede først koden efter validering.
Samtidig blev analyse aktivt modarbejdet. Udvidelserne kunne opdage åbne developer tools og forlænge deres dvale, mens C2-infrastrukturen kun leverede reel payload til udvalgte forespørgsler.
Dvale først – aktiv efterfølgende
Udvidelserne fremstod legitime og fungerede som forventet – eksempelvis som VPN-klienter, adblockere eller oversættelsesværktøjer – hvilket sikrede downloads og positive anmeldelser.
Den skadelige funktionalitet blev først aktiveret efter en række betingelser:
- Tidsforsinkelse på flere dage
- Server-side validering
- Begrænset eksekvering (i nogle tilfælde kun 10 % af installationerne)
Det gør det uklart, hvor mange brugere der reelt er blevet kompromitteret, selvom op mod 2,6 millioner installationer er registreret.
Ad fraud som røgslør
Den synlige effekt var klassisk ad fraud: injicerede annoncer, omdirigerede søgninger og kapring af affiliate-links.
Under overfladen var funktionaliteten langt mere alvorlig:
- Tyveri af Google-login og 2FA-koder
- Høst af WordPress-administratoradgange
- Eksfiltration af cookies til session hijacking
- Remote code execution via bagdør
Samtidig blev Google Analytics misbrugt som skjult telemetri, hvilket gav aktøren realtidsindsigt i kampagnens effektivitet.
Modstandsdygtig infrastruktur
Microsoft identificerer over ti C2-domæner med failover, brug af Cloudflare Workers til trafikproxying og GitHub Pages til hosting.
Kampagnen omfattede en polymorf kodebase fordelt på mindst 66 udvidelser og mere end 15 navnevarianter. Aktøren har løbende tilpasset sig – herunder skiftet fra Manifest V2 til V3 for at overleve platformændringer.
Spor peger mod overlap med tidligere kampagner kendt som ShadyPanda og GhostPoster. Blandt andet genbruges metoder og udvidelsesnavne, og data eksfiltreres til domæner tidligere forbundet med kinesiske operationer.
Microsoft har ikke officielt attribueret aktøren, men vurderer, at den fortsat er aktiv.
Oprydning uden afslutning
Microsoft har fjernet alle 119 udvidelser og suspenderet over 90 udviklerkonti bag dem.
Sagen illustrerer et velkendt mønster, hvor legitime funktioner kombineret med forsinket, målrettet aktivering og skjult distributionslogik. I dette tilfælde gemt i et ikon.
Læs mere
- https://thehackernews.com/2026/06/microsoft-removes-119-edge-extensions.html
- https://securityaffairs.com/194409/malware/stegoad-how-119-fake-browser-extensions-stole-credentials-and-ran-ad-fraud-for-two-years.html>
- https://www.malwarebytes.com/blog/news/2026/06/119-edge-extensions-promised-useful-tools-instead-downloaded-malware>