Microsoft elimina 119 extensiones de Edge que ocultaban malware en imágenes
Resumen rápido
Microsoft ha desmantelado una operación maliciosa en su tienda de extensiones Edge que empleaba esteganografía para camuflar código dañino dentro de archivos de imagen y fuentes tipográficas. Las 119 extensiones involucradas, atribuidas a un único actor de amenaza activo desde al menos 2021, permanecían dormidas varios días tras la instalación antes de activarse para robar credenciales y cometer fraude publicitario. La compañía ha bautizado la campaña como StegoAd.
Microsoft desmantela StegoAd: 119 extensiones maliciosas que usaban esteganografía en Edge
Microsoft ha retirado 119 extensiones de su tienda oficial Edge Add-ons Store tras descubrir que formaban parte de una infraestructura maliciosa coordinada. La peculiaridad técnica de esta campaña, a la que la propia compañía ha denominado StegoAd, es el uso sistemático de esteganografía: la práctica de ocultar datos dentro de archivos aparentemente inofensivos, en este caso imágenes y archivos de fuentes tipográficas.
Cómo funcionaba el ataque
Lejos de incluir código malicioso de forma directa y detectable, los autores de StegoAd incrustaban sus cargas útiles dentro de los datos de píxeles de imágenes y en los metadatos de archivos de fuentes. Una vez instalada la extensión, permanecía inactiva durante varios días —una táctica habitual para eludir análisis automatizados que inspeccionan el comportamiento inmediatamente tras la instalación—. Solo después de ese período de latencia el componente malicioso se activaba, dedicándose principalmente a robar credenciales del usuario y a ejecutar fraude de publicidad digital.
Este enfoque dificulta considerablemente tanto la detección estática (el código malicioso no aparece «a simple vista» en los archivos de la extensión) como la dinámica, dado que los sandboxes de análisis rara vez simulan días de uso continuado.
Escala y persistencia de la operación
Microsoft atribuye la totalidad de las 119 extensiones a un único actor de amenaza, lo que apunta a una operación organizada y no a múltiples grupos independientes. Según la compañía, ese actor lleva activo como mínimo desde 2021, lo que convierte a StegoAd en una de las campañas de larga duración más relevantes detectadas en tiendas de extensiones de navegadores.
El nombre StegoAd fusiona precisamente los dos vectores de la campaña: la esteganografía como mecanismo de ocultación y el adware/fraude publicitario como objetivo económico secundario, junto con el robo de credenciales como finalidad de mayor impacto para las víctimas.
Implicaciones para equipos de seguridad
Este tipo de amenaza pone en evidencia varias debilidades en la gestión de extensiones de navegador dentro de entornos corporativos:
- Falta de visibilidad sobre extensiones instaladas: muchas organizaciones no inventarian ni controlan qué extensiones tienen sus empleados activas.
- Período de latencia como técnica de evasión: los controles que solo analizan el comportamiento inicial no detectan amenazas que se activan días después.
- Esteganografía como vector emergente: los motores antivirus tradicionales no siempre inspeccionan el contenido codificado dentro de recursos gráficos o tipográficos.
Se recomienda revisar las políticas de gestión de extensiones de navegador, restringir la instalación a extensiones aprobadas por la organización y monitorizar el tráfico de red generado por procesos de navegador en busca de patrones anómalos.
Fuente: The Hacker News – Microsoft Removes 119 Edge Extensions That Hid Malware in Images and Fonts
¿Estás cubierto en DefensOps?
Aunque StegoAd no tiene CVE asociado, el comportamiento posterior a la activación de estas extensiones —exfiltración de credenciales y comunicaciones con infraestructura de fraude publicitario— genera señales de red y de comportamiento que el motor de correlación de DefensOps (plan Essential) puede detectar y alertar mediante cobertura genérica.
Esto incluye la correlación de eventos anómalos generados por procesos de navegador, patrones inusuales de acceso a credenciales almacenadas y comunicaciones salientes hacia dominios de baja reputación.
¿Quieres saber cómo DefensOps puede proteger tu organización frente a amenazas similares?
Consulta nuestros planes y solicita una demo gratuita →
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
- Cobertura genérica vía motor de correlación · plan Essential
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.