I ricercatori di sicurezza di LayerX hanno scoperto una campagna di almeno 12 estensioni per browser interconnesse che si spacciano per programmi per scaricare video da TikTok, ma in realtà tracciano l'attività degli utenti e raccolgono dati. Le estensioni condividono un codice sorgente comune e sono tutte cloni o versioni leggermente modificate l'una dell'altra, il che indica che si tratta di una campagna di lunga data e persistente condotta dagli stessi autori della minaccia.
Le estensioni implementano anche un meccanismo di configurazione remota dinamica, che consente loro di aggirare i processi di revisione dei marketplace. Ciò permette alle estensioni dannose di modificare il proprio comportamento e le proprie funzionalità dopo l'installazione, senza che utenti o marketplace se ne accorgano. Secondo una ricerca di LayerX, le estensioni in genere funzionano legittimamente per 6-12 mesi prima di introdurre funzionalità dannose.
Di conseguenza, anche quando alcune di queste estensioni vengono segnalate e rimosse, è facile crearne di nuove copie e caricarle negli store di estensioni. Alcune sono persino apparse come "In evidenza" negli store di estensioni, ampliando la loro portata e la fiducia che gli utenti ripongono in esse.
Ad oggi, oltre 130,000 utenti sono stati compromessi nell'ambito di questa campagna.
Dettagli estesi:
È stata individuata una campagna su larga scala, diffusa tramite Chrome e Microsoft Edge, che coinvolge almeno 12 estensioni per browser che si spacciano per programmi per scaricare video da TikTok. Sebbene queste estensioni offrano la funzionalità pubblicizzata (scaricare video da TikTok, spesso senza watermark), implementano contemporaneamente meccanismi di tracciamento occulto, funzionalità di configurazione remota e sistemi di raccolta dati.
La campagna ha avuto un impatto su 130,000 utenti, con circa 12,500 installazioni attive al momento dell'analisi. Tutti i campioni appartengono a un famiglia di codici singoli, indicando un'operazione coordinata che sfrutta estensioni clonate, rinominate e leggermente modificate per massimizzare la portata e la persistenza.
Oltre alle preoccupazioni sulla privacy, l'uso di endpoint di configurazione remota Introduce un rischio significativo per la sicurezza, consentendo modifiche comportamentali successive all'installazione che eludono i meccanismi di revisione del marketplace.
Punti chiave
- Un singolo attore ha operato Oltre 12 estensioni con una base di codice condivisa
- About 130 utenti interessati, circa 12.5 ancora attivi
- Estensioni utilizzate configurazione remota per aggirare la revisione del negozio
- Raccolto dati di fingerprinting ad alta entropia (incluso lo stato della batteria)
- Molti erano disponibile nei negozi ufficiali, aumentando la fiducia e la portata
Struttura e impatto della campagna
Questa campagna prospera su ripetizione e variazione.
Anziché sviluppare nuovi strumenti da zero, l'operatore mantiene un'architettura di estensione di base e ne crea diverse versioni derivate:
- Alcuni sono cloni quasi identici
- Altri sono leggermente rinominati
- Alcuni introducono modifiche incrementali o nuove infrastrutture
Dall'esterno, sembrano prodotti separati: "TikTok Video Downloader", "Mass TikTok Downloader" e "No Watermark Saver". Ma in realtà sono identici.
In particolare, molte di queste estensioni presentavano un badge "In evidenza" nello store, un indicatore tipicamente associato a estensioni verificate e di alta qualità, aumentando significativamente la fiducia e l'adozione da parte degli utenti nonostante i rischi sottostanti.
Questo crea a ecosistema resilienteQuando un'estensione viene segnalata o rimossa, le altre rimangono attive. È possibile caricarne di nuove rapidamente, spesso con le stesse schermate, descrizioni e funzionalità.
Il risultato è a ciclo continuo:
- Carica un'estensione pulita o minimamente sospetta
- Acquisire utenti e fiducia
- Introduci funzionalità aggiuntive tramite aggiornamenti
- Rimossi parzialmente o segnalati
- Riapparire sotto nuove identità
Questa non è solo una campagna malware, è una modello operativodove la persistenza si ottiene attraverso la duplicazione, il rebranding e il rapido riposizionamento.
Figura 1. Ciclo di vita dell'estensione che illustra il modello operativo "colpisci la talpa".
Panoramica tecnica
Tutte le estensioni condividono un Manifesto V3 (MV3) architettura, con permessi e permessi host pressoché identici. In particolare, molte di queste estensioni presentavano un badge "In evidenza" nello store. Questa dicitura è in genere associata a estensioni verificate e di alta qualità, ed è ben visibile agli utenti come segno di affidabilità. Di conseguenza, riduce significativamente i sospetti degli utenti e aumenta la probabilità di installazione, anche quando l'estensione in questione condivide codice e comportamento con varianti meno visibili.
Avevano anche caricato screenshot simili sulla pagina dello store dell'estensione.
Figura 2. Estensioni nei Marketplace di Google Chrome e Microsoft Edge.
Mentre tutte le estensioni mantengono le loro funzionalità legittime come l'estrazione dei metadati dei video di TikTok e il download dei video, includono anche capacità sia dichiarate che non dichiarate..
Configurazione remota
Le estensioni recuperano la configurazione dai server controllati dall'attaccante. Ciò consente alle estensioni di
- Modifica il comportamento dell'estensione all'istante
- Abilitare o disabilitare le funzionalità
- Reindirizzare l'attività di rete
- Ampliare la raccolta dati
La ricezione di configurazioni remote significa che il comportamento dell'estensione è non fissato o completamente visibilee avrebbe potuto essere modificato da remoto in qualsiasi momento ignorare la recensione del negozio e consentendo flussi di dati o funzionalità non visibili.
Figura 3. Struttura di configurazione remota
Un modello notevole tra i campioni è iniezione di capacità ritardatasono state introdotte funzionalità dannose 6-12 mesi dopo la pubblicazione iniziale, consentendo alle estensioni di costruirsi prima una reputazione ed eludere un controllo iniziale.
Impronta digitale dell'utente
Queste estensioni raccolgono dati di telemetria dettagliati sugli utenti, tra cui la frequenza con cui utilizzano lo strumento, i contenuti con cui interagiscono e varie caratteristiche del dispositivo come lingua, fuso orario e user agent. Viene catturato anche lo stato della batteria, un segnale insolito ma prezioso per rilevamento delle impronte digitali del dispositivo.
Figura 4. Impronta digitale dell'utente
Infrastruttura C&C e attribuzione delle minacce
Una caratteristica distintiva di questa campagna è la sua dipendenza da server di configurazione esterni. Anziché codificare direttamente il comportamento, diverse varianti recuperano file di configurazione JSON da domini controllati dagli aggressori:
- https://user.trafficreqort.com/data.json
- https://report.browsercheckdata.com/info.json
- https://check.qippin.com/config.json
- https://help.virtualbrowserer.com/rest.json
Alcuni di questi domini mostrano chiari segni di inganno, inclusi modelli di typosquatting come "richiesta di traffico"Invece di"rapporto sul traffico" o "tiktak"Invece di"tic tocQueste sottili incongruenze vengono spesso utilizzate per eludere un'ispezione superficiale, mantenendo al contempo una plausibile legittimità.
Sebbene non sia possibile attribuire la responsabilità direttamente a un singolo individuo, la coerenza riscontrata nel codice, nei modelli infrastrutturali e nel comportamento operativo indica fortemente l'intervento di un unico soggetto o di un gruppo strettamente coordinato.
Conclusione
Questa campagna esemplifica un cambiamento più ampio nel modo in cui le estensioni del browser possono essere utilizzate in modo improprio. Invece di implementare codice apertamente dannoso, l'operatore sfrutta funzionalità legittime come meccanismo per ottenere accesso e controllo a lungo termine.
Il vero rischio non risiede in ciò che le estensioni fanno oggi, ma in ciò che saranno in grado di fare domani. La configurazione remota le trasforma in strumenti adattabili che possono evolversi dopo l'installazione, mentre il loro accesso alle sessioni autenticate e al contesto di navigazione le rende particolarmente preziose per la raccolta di dati e il potenziale sfruttamento.
Anche nella loro forma attuale, queste estensioni consentono una profilazione dettagliata degli utenti. Raccolgono informazioni su modelli di utilizzo, contenuti scaricati, caratteristiche del dispositivo e dati ambientali come fuso orario e lingua. L'insieme di queste informazioni crea un'impronta digitale che può essere utilizzata per tracciare gli utenti tra diverse sessioni e potenzialmente tra diversi servizi.
Nella peggiore delle ipotesi, gli stessi meccanismi potrebbero essere riutilizzati per un'esfiltrazione di dati più ampia, per abusare delle richieste autenticate o per integrarsi in infrastrutture proxy o botnet di maggiori dimensioni.
Ciò che rende questa campagna particolarmente difficile da individuare è il suo modello operativo:
- Le versioni iniziali sono pulite o minimamente sospette
- Il comportamento è differito e controllato a distanza
- Ogni estensione appare come un prodotto indipendente
- I segnali di fiducia del negozio (come i badge "In evidenza") riducono il controllo da parte dell'utente
Ciò evidenzia una lacuna fondamentale nelle attuali difese: la maggior parte degli strumenti di sicurezza si concentra sulla convalida in fase di installazione, mentre il rischio reale emerge in fase di esecuzione.
Per affrontare questo problema è necessario un passaggio a un monitoraggio continuo e basato sul comportamento delle funzionalità delle estensioni del browser, in grado di rilevare cambiamenti nell'attività di rete, nell'interazione con il DOM e nell'utilizzo delle autorizzazioni dopo l'installazione. La tecnologia più recente di LayerX è progettata per colmare questa lacuna, fornendo visibilità e controllo in tempo reale a livello di browser, consentendo alle organizzazioni di identificare e bloccare i comportamenti dannosi delle estensioni, anche quando provengono da estensioni apparentemente legittime o precedentemente considerate affidabili.
In questo modello, l'estensione del browser non è più uno strumento statico, ma un punto d'appoggio dinamico, controllato da remoto e in continua evoluzione.
Indicatori di Compromesso (IOC)
Estensioni
| ID | Nome | Installazioni | Browser | Stato |
| injnjbcogjhcjhnhcbmlahgikemedbko | TikTok Downloader – Salva i video senza filigrana | 3,000 | Google Chrome | Active |
| ehdkeonoccndeaggnolijnmmeohkbpf | TikTok Video Downloader – Salvataggio in blocco | 1,000 | Google Chrome | Active |
| pfpijacnpangmkfdpgodlbokpkhpkeka | Scaricatore di Tiktok | 353 | Google Chrome | Active |
| cfbgdmiobbicgjnaegnenlcgbdabkcli | TikTok Video Downloader – Salva senza filigrana | 4,000 | Google Chrome | Active |
| mpalaahimeigibehbocnjipjfakekfia | Downloader di massa di video di TikTok | 77 | Microsoft Edge | Active |
| kkhjihaeddnhknninbekkhaklnailngh | TikTok Video Downloader – Salva senza filigrana | 9 | Microsoft Edge | Active |
| kbifpojhlkdoidmndacedmkbjopeekgl | TikTok Downloader – Salva i video senza filigrana | 47 | Microsoft Edge | Active |
| jacilgchggenbmgbfnehcegalhlgpnhf | Video di massa su TikTok
Downloader |
4,000 | Google Chrome | Active |
| oaceepljpkcbcgccnmlepeofkhplkbih | Downloader di massa di video di TikTok | 30,000 | Google Chrome | rimosso |
| ilcjgmjecbhpgpipmkfkibjopafpbcag | TikTok Downloader – Salva i video senza filigrana | 10,000 | Google Chrome | rimosso |
| kmobjdioiclamniofdnngmafbhgcniok | Conservatore video TikTok | 60,000 | Google Chrome | rimosso |
| cgnbfcoeopaehocfdnkkjecibafichje | Scaricatore video per Tiktok | 20,000 | Google Chrome | rimosso |
Domini
trafficreqort.com
browsercheckdata.com
qippin.com
virtualbrowserer.com
Emails
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
Tattiche, tecniche e procedure (TTP)
| tattica | Tecnica |
| Ricognizione | LX1.001(T1589) – Raccogliere informazioni sull'identità |
| Ricognizione | LX1.003 – Raccolta dati sui modelli |
| Accesso iniziale | LX3.003 (T1199) – Relazione di fiducia |
| Accesso alle credenziali | LX8.008 – Manomissione della rete |
| Scoperta | LX9.011 – Scoperta dell'hardware |
raccomandazioni
I professionisti della sicurezza, i difensori aziendali e gli sviluppatori di browser dovrebbero adottare le seguenti misure:
- Estensioni di audit all'interno di ambienti gestiti, in particolare quelle installate al di fuori dei controlli delle policy.
- Adotta approcci di monitoraggio in fase di esecuzione che si concentrino sul comportamento dell'estensione dopo l'installazione, anziché affidarsi esclusivamente alla convalida da parte del marketplace.
- Implementa tecnologie di monitoraggio delle estensioni basate sul comportamento per rilevare attività di rete non autorizzate o manipolazioni sospette del DOM.
- Rafforzare il monitoraggio e l'applicazione delle norme in fase di esecuzione, non solo la revisione in fase di installazione, per rilevare i cambiamenti di comportamento post-installazione causati dall'infrastruttura backend.
