A descoberta de malware nas extensões do Edge acendeu um novo alerta para utilizadores e profissionais de segurança. A Microsoft confirmou a remoção de 119 extensões maliciosas da loja oficial do navegador após identificar a campanha StegoAd, uma operação sofisticada que utilizava esteganografia para esconder código malicioso dentro de imagens e arquivos de fontes. Segundo a empresa, as extensões acumulavam cerca de 2,6 milhões de instalações, demonstrando o alcance da ameaça.
O caso chama atenção porque os complementos pareciam totalmente legítimos. Muitos se apresentavam como bloqueadores de anúncios, VPNs, utilitários de produtividade e ferramentas para melhorar a navegação, conquistando a confiança dos utilizadores antes de ativarem suas funções ocultas. Em vez de explorar uma falha do navegador, os criminosos abusaram da confiança depositada nas extensões.
Neste artigo, você entenderá como funcionava a campanha StegoAd, por que a técnica utilizada dificultava a detecção pelos sistemas de segurança, quais eram os riscos para os utilizadores e, principalmente, como verificar se o seu navegador continua protegido.
O que é a campanha StegoAd e como agia o malware nas extensões do Edge
A campanha StegoAd foi identificada pela equipa de investigação da Microsoft como uma operação ativa desde 2021, permanecendo praticamente invisível durante vários anos graças ao uso de técnicas avançadas de evasão.
As extensões maliciosas eram distribuídas através da Microsoft Edge Add-ons Store, apresentando descrições convincentes, avaliações aparentemente legítimas e funcionalidades comuns que despertavam pouco ou nenhum nível de suspeita.
Entre os exemplos estavam extensões que prometiam:
- VPN gratuita;
- bloqueadores de anúncios (AdBlock);
- ferramentas para download de conteúdos;
- personalização da interface do navegador;
- utilitários para melhorar a produtividade.
Depois de instaladas, essas extensões permaneciam inativas durante um determinado período, comportamento que dificultava sua identificação em análises automatizadas. Somente após algum tempo iniciavam a comunicação com servidores controlados pelos criminosos.
Essa estratégia reduzia significativamente as chances de detecção por mecanismos tradicionais de análise dinâmica, que normalmente executam uma extensão apenas durante alguns minutos antes de aprová-la.
O truque da esteganografia: ocultando código em imagens e fontes
O aspecto mais interessante da campanha foi o uso de esteganografia, uma técnica diferente da criptografia.
Enquanto a criptografia protege o conteúdo tornando-o ilegível, a esteganografia procura esconder a própria existência da informação.
No caso da campanha StegoAd, os atacantes ocultavam código JavaScript dentro de arquivos aparentemente inofensivos.
Entre os formatos utilizados estavam:
- imagens PNG, com código inserido após o marcador IEND, ponto que normalmente indica o fim da imagem;
- arquivos WebP contendo dados ocultos;
- fontes WOFF2, nas quais trechos de código eram escondidos dentro dos glifos utilizados para renderizar caracteres.
Para qualquer sistema tradicional de inspeção, esses arquivos pareciam perfeitamente normais.
Quando a extensão era executada, ela extraía silenciosamente o conteúdo escondido e reconstruía o código malicioso na memória, evitando armazená-lo de forma visível no navegador.
Essa abordagem dificultava tanto análises automatizadas quanto inspeções manuais realizadas por investigadores.
Infraestrutura avançada e evasão de analistas
Outro diferencial da operação foi a infraestrutura extremamente sofisticada utilizada pelos criminosos.
Antes de entregar a carga maliciosa, o servidor de Comando e Controle (C2) analisava diversas características do dispositivo.
Entre elas estavam:
- idioma do navegador;
- localização aproximada;
- sistema operativo;
- resolução da tela;
- presença de ferramentas de análise.
Caso detectasse que o ambiente poderia pertencer a um pesquisador de segurança, laboratório ou máquina virtual, o servidor simplesmente deixava de fornecer o código malicioso.
Outro recurso utilizado consistia em identificar quando o DevTools do navegador estava aberto.
Se isso acontecesse, o comportamento da extensão mudava completamente, ocultando as funções maliciosas para dificultar a investigação.
Além disso, a infraestrutura utilizava serviços legítimos como Cloudflare Workers e GitHub Pages, tornando o tráfego aparentemente confiável e dificultando bloqueios por soluções tradicionais de segurança.
Malware nas extensões do Edge: roubo de credenciais e fraudes publicitárias
Embora muitas pessoas pensem que uma extensão maliciosa serve apenas para exibir anúncios, os riscos identificados pela Microsoft eram muito maiores.
Uma das funções observadas envolvia o sequestro de comissões de afiliados.
Sempre que um utilizador visitava determinadas lojas virtuais, a extensão modificava silenciosamente os links de rastreamento, fazendo com que a comissão fosse enviada aos operadores da campanha.
Embora esse comportamento já represente fraude financeira, ele era apenas uma pequena parte da operação.
As extensões também eram capazes de:
- capturar cookies de autenticação;
- roubar tokens de sessão;
- monitorar páginas visitadas;
- recolher informações da conta Google;
- capturar credenciais utilizadas em painéis administrativos;
- obter logins de sistemas como WordPress.
Na prática, isso significa que um atacante poderia assumir sessões já autenticadas sem precisar conhecer a senha da vítima.
Dependendo do serviço comprometido, as consequências poderiam incluir:
- invasão de contas;
- alteração de conteúdos publicados;
- acesso a dados corporativos;
- comprometimento de ambientes empresariais.
O maior problema é que muitas destas atividades acontecem em segundo plano, sem apresentar qualquer sinal visível ao utilizador.
Como se proteger contra malware nas extensões do Edge e verificar o seu navegador
A remoção das extensões pela Microsoft reduz significativamente o risco, mas não elimina a necessidade de revisão por parte dos utilizadores.
A primeira medida recomendada é abrir:
edge://extensions
Revise cuidadosamente todas as extensões instaladas.
Pergunte-se:
- ainda utilizo esta extensão?
- conheço o desenvolvedor?
- realmente preciso dela?
Quanto menor o número de complementos instalados, menor será a superfície de ataque do navegador.
Também é importante comparar as extensões instaladas com os relatórios oficiais divulgados pela Microsoft, verificando se alguma delas fazia parte da campanha removida.
Caso exista qualquer suspeita de instalação de uma das extensões afetadas, recomenda-se:
- remover imediatamente a extensão;
- alterar as senhas das contas mais importantes;
- encerrar sessões abertas em serviços críticos;
- ativar a autenticação em dois fatores (2FA);
- sempre que possível, utilizar chaves físicas de segurança (hardware security keys) compatíveis com os padrões modernos de autenticação.
Outro hábito importante consiste em analisar cuidadosamente as permissões solicitadas por cada extensão.
Se um simples bloqueador de anúncios solicitar acesso completo aos dados de todos os sites visitados, por exemplo, vale a pena questionar se essa permissão realmente faz sentido.
Também é recomendável manter o Microsoft Edge sempre atualizado, pois novas versões incluem melhorias constantes nos mecanismos de deteção de extensões potencialmente maliciosas.
Por fim, lembre-se de que lojas oficiais reduzem riscos, mas não garantem segurança absoluta. O caso da campanha StegoAd demonstra que até mesmo plataformas controladas por grandes empresas podem ser utilizadas temporariamente para distribuir software malicioso antes que ele seja identificado.
A melhor defesa continua sendo a combinação de boas práticas de segurança, atualização constante e revisão periódica das extensões instaladas. Pequenos cuidados podem impedir o roubo de credenciais, proteger informações pessoais e evitar prejuízos muito maiores no futuro.