2026年7月微软安全团队发布重大预警,Edge官方应用商店批量下架119款名为StegoAd的恶意扩展程序,累计感染用户高达260万。这类插件伪装成广告拦截、翻译工具、视频下载器、免费VPN等刚需工具,在官方商店潜伏数年,依靠高阶隐写免杀技术躲过平台机审与杀毒软件扫描,成为近年浏览器安全领域典型高危攻击案例。
多数用户默认官方商店插件具备安全保障,放松警惕随意安装,殊不知StegoAd背后是成熟黑产团伙搭建的僵尸网络。表面仅投放垃圾广告、劫持电商返利链接牟利,底层暗藏远程代码执行后门,一旦触发攻击逻辑,可批量窃取账号、Cookie、双因素验证码,给个人、企业带来数据泄露、财产被盗双重风险。安全圈溯源确认,该攻击团伙为长期活跃的DarkSpectre黑客组织,此前多次投放同类恶意扩展实施窃密活动。

StegoAd能够长期潜伏,核心在于将隐写技术与浏览器扩展深度结合,实现“正常资源藏恶意代码”,规避常规静态扫描。
早期变种采用PNG图片隐写,恶意JS代码追加在图片IEND结束标记后方,浏览器渲染图片仅读取标记前内容,图片显示完全正常,扫描工具无法识别隐藏脚本。随着检测升级,攻击者迭代至WebP图片、WOFF2字体投毒,将恶意代码嵌入字体字形区间与元数据,此类载体极少被安全工具重点检测,隐蔽性大幅提升。
除静态隐写,该黑产配套多层动态反侦察机制。插件安装后自动休眠数日,仅设置10%灰度执行概率,九成设备仅展示正常功能,大幅降低用户异常感知;实时监听F12开发者工具,一旦检测分析师调试页面立即停止恶意行为;Payload不本地存储,从C2服务器下发加密图片,经过大小写转换、Base64、XOR异或多层套娃解码校验后,才在内存中执行,层层阻断安全分析溯源。
StegoAd并非单一恶意插件,而是一套完整黑产运营体系,攻击者滥用各大厂商公开服务隐藏攻击链路。通信层面部署多组故障转移C2域名,借助CloudflareWorkers代理流量、GitHubPages托管信标,掩盖真实服务器IP;甚至复用7组谷歌GA统计ID搭建内部监控看板,利用大厂基础设施完成受害设备数据遥测。
攻击危害远超广告欺诈,内置高危RCE远程后门,攻击者可随时下发任意JS脚本控制浏览器;实时监控全站登录表单,窃取谷歌账号、网银、WordPress后台管理员账号,批量劫持会话Cookie。普通短信验证码无法抵御攻击,插件可直接截取动态令牌,账户被盗风险极高。大量企业员工安装后,办公后台、客户资料、商业机密存在外泄隐患。
面对StegoAd这类高隐蔽恶意扩展,个人与企业需建立常态化浏览器安全自查机制,分三步降低风险。
第一,即时清理可疑扩展。Edge浏览器输入edge://extensions进入管理页面,查看是否存在被系统自动移除的插件,若存在说明终端已失陷,需彻底重置浏览器。优先卸载长期闲置、小众翻译、破解类下载工具、来路不明VPN插件,仅保留正规大厂工具。
第二,升级账号安全体系。全部网站重置登录密码,淘汰短信验证码,更换FIDO2硬件安全密钥,阻断Cookie、动态令牌窃取带来的账号劫持风险;企业统一规范员工浏览器插件安装权限,禁止私自安装非办公必需扩展。
第三,建立长期防护习惯。仅从官方商店下载扩展,安装前核对开发者资质与权限申请,拒绝索取“读取所有网站数据”超额权限的工具;定期清理浏览器缓存、Cookie,开启系统杀毒实时扫描,发现浏览器异常弹窗、卡顿、流量激增第一时间排查扩展风险。
浏览器扩展是网络安全极易忽视的薄弱环节,StegoAd事件证明,即便官方上架程序也存在重大安全隐患。隐写免杀技术持续迭代,普通用户需摒弃“商店插件绝对安全”的固有认知,定期开展安全自查,落实多因素认证防护,从源头阻断恶意扩展窃密攻击。
最新发布
根据《中华人民共和国网络安全法》及相关法律的规定,用户不提供真实身份信息的,网络运营者不得为其提供相关服务!
详情请查看《51DNS.COM账号实名认证公告》
请未完成实名认证的用户尽快完善账户实名认证信息!
未通过实名认证的账户将无法进行正常操作,正在运行/已配置好的的产品服务不受影响,可正常生效。