Janne Yli-Korhonen
30. kesäkuuta, 2026 18:29
Microsoft on paljastanut ja purkanut hienostuneen selainlaajennuskampanjan, jonka myötä yhtiö poisti Edge-selaimen lisäosakaupasta kaikkiaan 119 haitallista laajennusta.
StegoAd-nimellä tunnettu haittaohjelmaverkosto ehti kerätä laajennuksilleen yhteensä noin 2,6 miljoonaa latausta ennen kuin sen toiminta onnistuttiin pysäyttämään.
Microsoft kertoo kattavasti (PDF) löydetyistä lisäosista ja niiden toiminnasta.
Ladatut laajennukset toimivat eräänlaisina nukkuvina agentteina. Ne lupasivat ja myös tarjosivat käyttäjilleen aivan tavallisia perustyökaluja, kuten mainosten esto-ohjelmia, kääntäjiä, VPN-palveluita ja videolataajia.
Koska sovellukset toimivat aluksi juuri kuten pitikin, ne onnistuivat keräämään käyttäjiltä hyviä arvosteluja ja rakentamaan luottamusta. Vasta tietyn ajan kuluttua laajennukset alkoivat salaa ladata taustapalvelimiltaan varsinaista haitallista koodia.
Kampanjan piirre on sen hyödyntämä steganografia eli tietojen piilottaminen viattomalta näyttäviin tiedostoihin, mistä operaatio on saanut nimensäkin. Rikolliset piilottivat suoritettavan haitallisen JavaScript-koodin täysin tavallisen näköisten PNG-kuvakkeiden, WebP-kuvien ja fonttitiedostojen sisään.
Tämän ansiosta laajennukset läpäisivät sovelluskauppojen perinteiset automaattiset tietoturvaskannaukset, sillä koodi oli piilossa kuvadatan seassa.
Lisäksi laajennukset pysyttelivät asennuksen jälkeen lepotilassa useita päiviä, ja kakkosvaiheen haittaohjelma aktivoitui vain noin kymmenessä prosentissa asennuksista, mikä teki poikkeavuuksien havaitsemisesta entistä vaikeampaa.
Tietoturvatutkijoiden ja analyytikoiden työtä vaikeutettiin myös hämäystekniikalla, sillä laajennukset osasivat tarkkailla selaimen kehittäjätyökaluja. Jos käyttäjä tai koodia tutkiva asiantuntija avasi selaimen kehitysnäkymän esimerkiksi F12-näppäimellä tai näppäinyhdistelmällä, laajennus havaitsi tämän ja jäädytti kaiken haitallisen toimintansa määräämättömäksi ajaksi. Tämän seurauksena haittaohjelma näytti koodiaan tarkastelevalle tutkijalle täysin harmittomalta apuohjelmalta.
Kun lepotila päättyi ja yhteys komentopalvelimeen muodostettiin, laajennukset aktivoivat haitallisia toimintoja. Ne sisälsivät mahdollisuuden etähallintaan, jonka kautta hyökkääjät voivat ajaa selaimessa mitä tahansa koodia.
Laajennukset pystyivät myös kaappaamaan Google-tilien kirjautumissivuilta suoraan käyttäjätunnukset, salasanat sekä kirjautumisen yhteydessä syötetyt kaksivaiheisen tunnistautumisen suojakoodit. Tämän lisäksi haittaohjelma varasti selaimesta evästetietoja istuntokaappauksia varten sekä metsästi WordPress-sivustojen ylläpitotunnuksia.
Vaikka Microsoft löysi ja analysoi kampanjan oman laajennuskauppansa kautta, tietoturvatutkijat muistuttavat, että käytetyt tekniikat ovat yleisesti sovellettavissa kaikkiin Chromium-pohjaisiin selaimiin.
Mikäli epäilee ladanneensa jonkin haitallisiksi listatuista laajennuksista (PDF sivut 40-43), on se poistettava selaimesta välittömästi ja omat salasanat vaihdettava.