Die Sicherheitsforscher von LayerX haben eine Kampagne mit mindestens zwölf miteinander verbundenen Browsererweiterungen aufgedeckt, die sich als TikTok-Video-Downloader ausgeben, in Wirklichkeit aber Nutzeraktivitäten verfolgen und Daten sammeln. Die Erweiterungen basieren auf einer gemeinsamen Codebasis und sind allesamt Klone oder leicht modifizierte Versionen voneinander. Dies deutet darauf hin, dass es sich um eine langjährige und hartnäckige Kampagne derselben Angreifer handelt.
Die Erweiterungen implementieren zudem einen Mechanismus zur dynamischen Fernkonfiguration, der es ihnen ermöglicht, die Prüfprozesse der Marktplätze zu umgehen. Dadurch können die schädlichen Erweiterungen ihr Verhalten und ihre Funktionalität nach der Installation ändern, ohne dass Benutzer oder Marktplätze dies bemerken. Laut Untersuchungen von LayerX funktionieren die Erweiterungen typischerweise 6–12 Monate lang unbemerkt, bevor sie schädliche Funktionen einführen.
Daher ist es selbst dann, wenn einige dieser Erweiterungen gemeldet und entfernt werden, ein Leichtes, neue Kopien zu erstellen und in Erweiterungs-Stores hochzuladen. Manche wurden sogar als „Empfohlen“ in Erweiterungs-Stores angezeigt, wodurch ihre Reichweite und das Vertrauen der Nutzer weiter gesteigert wurden.
Bis heute wurden im Rahmen dieser Kampagne über 130,000 Nutzerdaten kompromittiert.
Erweiterte Details:
Eine groß angelegte Kampagne mit mindestens zwölf Browsererweiterungen, die sich als TikTok-Video-Downloader ausgeben, wurde in den App-Stores von Chrome und Microsoft Edge aufgedeckt. Obwohl diese Erweiterungen die beworbene Funktion bieten (Herunterladen von TikTok-Videos, oft ohne Wasserzeichen), implementieren sie gleichzeitig verdeckte Tracking-, Fernkonfigurations- und Datenerfassungsmechanismen.
Die Kampagne hat über 130,000 benutzer, mit ca 12,500 aktive Installationen zum Zeitpunkt der Analyse. Alle Proben gehören zu einem einzelne CodefamilieDies deutet auf eine koordinierte Vorgehensweise hin, bei der geklonte, umbenannte und leicht modifizierte Erweiterungen genutzt werden, um Reichweite und Beständigkeit zu maximieren.
Abgesehen von den Bedenken hinsichtlich des Datenschutzes, die Nutzung von Remote-Konfigurationsendpunkte stellt ein erhebliches Sicherheitsrisiko dar, da es nach der Installation Verhaltensänderungen ermöglicht, die die Überprüfungsmechanismen des Marktplatzes umgehen.
Wichtige Erkenntnisse
- Ein einzelner Schauspieler agierte Über 12 Erweiterungen mit einer gemeinsamen Codebasis
- Über 130 Nutzer betroffen, ~12.5K noch aktiv
- Verwendete Erweiterungen Remote-Konfiguration um die Ladenprüfung zu umgehen
- Gesammelt Fingerprinting-Daten mit hoher Entropie (einschließlich Batteriestatus)
- Viele waren Erhältlich in offiziellen GeschäftenSteigerung des Vertrauens und der Reichweite
Kampagnenstruktur und -wirkung
Diese Kampagne lebt von Wiederholung und Variation.
Anstatt neue Tools von Grund auf zu entwickeln, pflegt der Betreiber eine Kernarchitektur für Erweiterungen und veröffentlicht mehrere Versionen davon:
- Einige sind nahezu identische Klone.
- Andere wurden nur leicht umbenannt.
- Einige wenige führen schrittweise Änderungen oder neue Infrastruktur ein.
Von außen betrachtet wirken sie wie separate Produkte: „TikTok Video Downloader“, „Mass TikTok Downloader“, „No Watermark Saver“. Technisch gesehen sind sie jedoch identisch.
Bemerkenswerterweise trugen viele dieser Erweiterungen im Store ein „Featured“-Siegel, ein Indikator, der typischerweise mit geprüften, qualitativ hochwertigen Erweiterungen in Verbindung gebracht wird und das Vertrauen der Nutzer sowie die Akzeptanz trotz der damit verbundenen Risiken deutlich erhöhte.
Dies schafft ein widerstandsfähiges ÖkosystemWird eine Erweiterung gemeldet oder entfernt, bleiben andere aktiv. Neue können schnell hochgeladen werden, oft mit denselben Screenshots, Beschreibungen und Funktionen.
Das Ergebnis ist ein kontinuierlicher Zyklus:
- Laden Sie eine saubere oder nur minimal verdächtige Erweiterung hoch.
- Nutzer und Vertrauen gewinnen
- Zusätzliche Funktionen durch Updates einführen
- Teilweise entfernt oder markiert
- Wiedererscheinen unter neuen Identitäten
Dies ist nicht nur eine Malware-Kampagne – es ist eine Betriebsmodell, wobei Beständigkeit durch Duplikation, Rebranding und schnelle Wiedereinführung erreicht wird.
Abbildung 1. Lebenszyklus der Erweiterung zur Veranschaulichung des „Hau-den-Maulwurf“-Betriebsmodells
Technische Übersicht
Alle Erweiterungen haben eine einheitliche Struktur. Manifest V3 (MV3) Architektur mit nahezu identischen Berechtigungen und Host-Berechtigungen. Bemerkenswert ist, dass viele dieser Erweiterungen im Store mit dem „Empfohlen“-Siegel gekennzeichnet waren. Diese Auszeichnung steht typischerweise für geprüfte, qualitativ hochwertige Erweiterungen und wird Nutzern prominent als Vertrauenszeichen präsentiert. Dadurch wird das Misstrauen der Nutzer deutlich reduziert und die Installationswahrscheinlichkeit erhöht, selbst wenn die zugrundeliegende Erweiterung Code und Verhalten mit weniger sichtbaren Varianten teilt.
Sie hatten außerdem ähnliche Screenshots auf der Store-Seite der Erweiterung hochgeladen.
Abbildung 2. Erweiterungen in den App-Stores von Google Chrome und Microsoft Edge
Während alle Erweiterungen ihre legitimen Funktionen wie das Extrahieren von TikTok-Videometadaten und das Herunterladen von Videos beibehalten, beinhalten sie auch Folgendes: sowohl deklarierte als auch nicht deklarierte Fähigkeiten..
Remote-Konfiguration
Erweiterungen rufen Konfigurationen von Servern ab, die von Angreifern kontrolliert werden. Dies ermöglicht es den Erweiterungen,
- Ändern Sie das Verhalten der Erweiterung sofort
- Aktivieren oder Deaktivieren von Funktionen
- Netzwerkaktivität umleiten
- Datenerfassung ausweiten
Der Empfang von Remote-Konfigurationen bedeutet, dass sich das Verhalten der Erweiterung wie folgt ändert: nicht fixiert oder vollständig sichtbarund hätten jederzeit aus der Ferne geändert werden können. Umgehung der Ladenbewertung und die Ermöglichung bisher unbekannter Datenflüsse oder Funktionen.
Abbildung 3. Struktur der Remote-Konfiguration
Ein auffälliges Muster in den verschiedenen Stichproben ist verzögerte Fähigkeitsinjektionbösartige Funktionen wurden eingeführt 6–12 Monate nach der ErstveröffentlichungDadurch können Erweiterungen zunächst einen guten Ruf aufbauen und einer frühzeitigen Überprüfung entgehen.
Benutzer-Fingerabdruck
Diese Erweiterungen sammeln detaillierte Telemetriedaten über die Nutzer, darunter die Häufigkeit der Nutzung des Tools, die verwendeten Inhalte und verschiedene Gerätemerkmale wie Sprache, Zeitzone und User-Agent. Sogar der Akkustand wird erfasst – ein ungewöhnliches, aber wertvolles Signal für die Nutzer. Gerätefingerabdruck.
Abbildung 4. Benutzer-Fingerabdruck
C&C-Infrastruktur und Bedrohungszuordnung
Ein charakteristisches Merkmal dieser Kampagne ist ihre Abhängigkeit von externen Konfigurationsservern. Anstatt das Verhalten fest zu kodieren, rufen mehrere Varianten JSON-Konfigurationsdateien von Angreifer-kontrollierten Domänen ab:
- https://user.trafficreqort.com/data.json
- https://report.browsercheckdata.com/info.json
- https://check.qippin.com/config.json
- https://help.virtualbrowserer.com/rest.json
Einige dieser Domains weisen deutliche Anzeichen von Täuschung auf, darunter Typosquatting-Muster wie „Verkehrsanforderung"Statt"Verkehrsbericht" oder "tiktak"Statt"TikTok„Diese subtilen Ungereimtheiten werden oft genutzt, um einer oberflächlichen Überprüfung zu entgehen und gleichzeitig eine plausible Legitimität aufrechtzuerhalten.“
Auch wenn keine direkte Zuordnung möglich ist, deuten die Übereinstimmung im Code, den Infrastrukturmustern und dem Betriebsverhalten stark auf einen einzelnen Akteur oder eine eng koordinierte Gruppe hin.
Fazit
Diese Kampagne verdeutlicht einen umfassenderen Wandel im Missbrauch von Browsererweiterungen. Anstatt offenkundig schädlichen Code einzusetzen, nutzt der Betreiber legitime Funktionen als Mechanismus für langfristigen Zugriff und Kontrolle.
Das eigentliche Risiko liegt nicht in den heutigen Funktionen der Erweiterungen, sondern in ihrem zukünftigen Potenzial. Die Fernkonfiguration verwandelt sie in anpassungsfähige Werkzeuge, die sich nach der Installation weiterentwickeln können, während ihr Zugriff auf authentifizierte Sitzungen und den Browserkontext sie besonders wertvoll für die Datenerfassung und potenzielle Ausnutzung macht.
Schon im jetzigen Zustand ermöglichen diese Erweiterungen eine detaillierte Nutzerprofilierung. Sie erfassen Informationen über Nutzungsmuster, heruntergeladene Inhalte, Geräteeigenschaften und Umgebungsdaten wie Zeitzone und Sprache. Zusammengenommen ergibt dies einen Fingerabdruck, mit dem sich Nutzer sitzungs- und potenziell dienstübergreifend verfolgen lassen.
Im schlimmsten Fall könnten dieselben Mechanismen für eine umfassendere Datenexfiltration, den Missbrauch authentifizierter Anfragen oder die Integration in größere Proxy- oder Botnetz-ähnliche Infrastrukturen umfunktioniert werden.
Was diese Kampagne besonders schwer erkennbar macht, ist ihr Vorgehensmodell:
- Die ersten Versionen sind sauber oder nur minimal verdächtig.
- Das Verhalten wird verzögert und ferngesteuert
- Jede Erweiterung erscheint als unabhängiges Produkt.
- Vertrauenssignale im Store (wie z. B. „Empfohlen“-Abzeichen) verringern die Aufmerksamkeit der Nutzer.
Dies verdeutlicht eine grundlegende Lücke in den aktuellen Abwehrmechanismen: Die meisten Sicherheitstools konzentrieren sich auf die Validierung zur Installationszeit, während das eigentliche Risiko erst zur Laufzeit auftritt.
Um diesem Problem zu begegnen, ist ein Umdenken hin zu einer kontinuierlichen, verhaltensbasierten Überwachung der Funktionen von Browsererweiterungen erforderlich. Diese Überwachung muss Veränderungen der Netzwerkaktivität, der DOM-Interaktion und der Berechtigungsnutzung nach der Installation erkennen können. Die neueste Technologie von LayerX schließt diese Lücke, indem sie Echtzeit-Transparenz und -Durchsetzung auf Browserebene ermöglicht. So können Unternehmen schädliches Erweiterungsverhalten identifizieren und blockieren, selbst wenn es von scheinbar legitimen oder zuvor vertrauenswürdigen Erweiterungen ausgeht.
In diesem Modell ist die Browsererweiterung kein statisches Werkzeug mehr, sondern ein lebendiger Ankerpunkt, der ferngesteuert wird und sich im Laufe der Zeit weiterentwickelt.
Kompromissindikatoren (IOCs)
Erweiterungsoptionen
| ID | Name | Installiert | Browser | Status |
| injnjbcogjhcjhnhcbmlahgikemedbko | TikTok-Downloader – Videos speichern, ohne Wasserzeichen | 3,000 | Google Chrome | Aktives |
| ehdkeonoccndeaggbnolijnmmeohkbpf | TikTok-Video-Downloader – Massenspeicherung | 1,000 | Google Chrome | Aktives |
| pfpijacnpangmkfdpgodlbokpkhpkeka | Tiktok-Downloader | 353 | Google Chrome | Aktives |
| cfbgdmiobbicgjnaegnenlcgbdabkcli | TikTok-Video-Downloader – Speichern ohne Wasserzeichen | 4,000 | Google Chrome | Aktives |
| mpalaahimeigibehbocnjipjfakekfia | Massenhafter TikTok-Video-Downloader | 77 | Microsoft Edge | Aktives |
| kkhjihaeddnhknninbekkhaklnailngh | TikTok-Video-Downloader – Speichern ohne Wasserzeichen | 9 | Microsoft Edge | Aktives |
| kbifpojhlkdoidmndacedmkbjopeekgl | TikTok-Downloader – Videos speichern, ohne Wasserzeichen | 47 | Microsoft Edge | Aktives |
| jacilgchggenbmgbfnehcegalhlgpnhf | Massen-TikTok-Video
Downloader |
4,000 | Google Chrome | Aktives |
| oaceepljpkcbcgccnmlepeofkhplkbih | Massenhafter TikTok-Video-Downloader | 30,000 | Google Chrome | Entfernt |
| ilcjgmjecbhpgpipmkfkibjopafpbcag | TikTok-Downloader – Videos speichern, ohne Wasserzeichen | 10,000 | Google Chrome | Entfernt |
| kmobjdioiclamniofdnngmafbhgcniok | TikTok Video Keeper | 60,000 | Google Chrome | Entfernt |
| cgnbfcoeopaehocfdnkkjecibafichje | Video-Downloader für TikTok | 20,000 | Google Chrome | Entfernt |
Domains
trafficreqort.com
browsercheckdata.com
qippin.com
virtualbrowser.com
E-Mails
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
Taktiken, Techniken und Verfahren (TTPs)
| Taktik | Technik |
| Aufklärung | LX1.001(T1589) – Identitätsinformationen sammeln |
| Aufklärung | LX1.003 – Mustererkennung |
| Erster Zugriff | LX3.003 (T1199) – Vertrauensvolle Beziehung |
| Zugang zu Anmeldeinformationen | LX8.008 – Netzwerkmanipulation |
| Bewertung | LX9.011 – Hardwareerkennung |
Empfehlungen
Sicherheitsexperten, Unternehmensverteidiger und Browserentwickler sollten folgende Maßnahmen ergreifen:
- Überprüfen Sie Erweiterungen in verwalteten Umgebungen, insbesondere solche, die außerhalb der Richtlinienkontrollen installiert wurden.
- Setzen Sie auf Laufzeitüberwachungsansätze, die sich auf das Verhalten der Erweiterung nach der Installation konzentrieren, anstatt sich ausschließlich auf die Validierung durch den Marktplatz zu verlassen.
- Setzen Sie verhaltensbasierte Technologien zur Überwachung von Erweiterungen ein, um unautorisierte Netzwerkaktivitäten oder verdächtige DOM-Manipulationen zu erkennen.
- Die Überwachung und Durchsetzung von Vorschriften zur Laufzeit sollte verstärkt werden, nicht nur die Überprüfung zur Installationszeit, um Verhaltensänderungen nach der Installation zu erkennen, die durch die Backend-Infrastruktur bedingt sind.
