스틸톡: 틱톡 영상 다운로더로 데이터 탈취 피해를 입은 사용자 130만 명

LayerX 보안 연구원들은 틱톡 동영상 다운로더로 위장했지만 실제로는 사용자 활동을 추적하고 데이터를 수집하는 최소 12개의 상호 연관된 브라우저 확장 프로그램 캠페인을 발견했습니다. 이 확장 프로그램들은 공통된 코드베이스를 공유하며 모두 서로 복제본이거나 약간만 수정된 버전으로, 이는 동일한 위협 행위자들이 장기간에 걸쳐 지속적으로 벌여온 캠페인임을 시사합니다.

이러한 확장 프로그램은 동적 원격 구성 메커니즘을 구현하여 마켓플레이스 검토 프로세스를 우회할 수 있도록 합니다. 이를 통해 악성 확장 프로그램은 설치 후 사용자나 마켓플레이스가 인지하지 못하는 사이에 동작 및 기능을 변경할 수 있습니다. LayerX의 연구에 따르면, 이러한 확장 프로그램은 일반적으로 악성 기능을 도입하기 전까지 6~12개월 동안 합법적으로 작동합니다.

결과적으로, 이러한 확장 프로그램 중 일부가 신고되어 삭제되더라도 새로운 복제본을 쉽게 만들어 확장 프로그램 스토어에 업로드할 수 있습니다. 심지어 일부는 확장 프로그램 스토어에서 "추천"으로 선정되어 사용자들의 신뢰도를 높이고 영향력을 확대하기도 했습니다.

현재까지 이 캠페인의 일환으로 130,000만 명이 넘는 사용자의 계정이 해킹당했습니다.

자세한 내용:

크롬과 마이크로소프트 엣지 마켓플레이스에서 틱톡 동영상 다운로더로 위장한 최소 12개의 브라우저 확장 프로그램이 대규모로 발견되었습니다. 이 확장 프로그램들은 광고된 기능(워터마크 없이 틱톡 동영상 다운로드)을 제공하는 것처럼 보이지만, 동시에 은밀한 추적, 원격 설정 기능, 데이터 수집 메커니즘을 실행하고 있습니다.

이 캠페인은 100여 명에게 영향을 미쳤습니다. 130,000 사용자, 대략 12,500개의 활성 설치 분석 당시. 모든 샘플은 다음 그룹에 속합니다. 단일 코드 패밀리이는 복제, 브랜드 변경 및 약간 수정된 확장 프로그램을 활용하여 도달 범위와 지속성을 극대화하는 조직적인 작전을 나타냅니다.

개인 정보 보호 문제 외에도, 사용 원격 구성 엔드포인트 이는 설치 후 마켓플레이스 검토 메커니즘을 우회하는 동작 변경을 가능하게 하여 심각한 보안 위험을 초래합니다.

주요 요점

• 한 명의 행위자가 운영했습니다. 12개 이상의 확장 공유 코드베이스를 가진
• 이상 130만 명의 사용자가 영향을 받았습니다.약 12.5명이 여전히 활동 중입니다.
• 확장 프로그램 사용 원격 구성 매장 리뷰를 건너뛰려면
• 모은 고엔트로피 지문 데이터 (배터리 상태 포함)
• 많은 사람들이 그랬다 공식 매장에서 판매 중신뢰도와 영향력을 높여줍니다.

캠페인 구조 및 영향

이 캠페인은 다음을 통해 번창합니다. 반복과 변형.

운영자는 새로운 도구를 처음부터 구축하는 대신 핵심 확장 아키텍처를 유지하고 여러 버전을 생성합니다.

• 일부는 거의 똑같은 복제본입니다.
• 나머지는 약간의 브랜드 변경만 거쳤습니다.
• 일부는 점진적인 변화를 도입하거나 새로운 인프라를 구축합니다.

겉으로 보기에는 "TikTok Video Downloader", "Mass TikTok Downloader", "No Watermark Saver"처럼 각각 별개의 제품처럼 보이지만, 내부적으로는 모두 동일한 기능입니다.

특히, 이러한 확장 프로그램 중 상당수는 스토어에서 "추천" 배지를 달고 있었는데, 이는 일반적으로 검증된 고품질 확장 프로그램에 부여되는 표시로, 내재된 위험에도 불구하고 사용자 신뢰도와 채택률을 크게 높였습니다.

이렇게하면 회복력 있는 생태계하나의 확장 프로그램이 신고되거나 삭제되더라도 다른 확장 프로그램은 계속 활성화된 상태로 유지됩니다. 새로운 확장 프로그램은 동일한 스크린샷, 설명 및 기능을 그대로 사용하여 신속하게 업로드할 수 있습니다.

결과는 연속 사이클:

1. 의심스러운 부분이 거의 없는 깨끗한 확장 프로그램을 업로드하세요.
2. 사용자와 신뢰를 얻으세요
3. 업데이트를 통해 추가 기능을 도입하세요
4. 부분적으로 삭제되거나 플래그가 지정됩니다.
5. 새로운 신분으로 다시 나타나다

이것은 단순한 악성코드 유포 캠페인이 아닙니다. 운영 모델여기서 지속성은 복제, 리브랜딩 및 신속한 재배치를 통해 달성됩니다.

그림 1. "두더지 잡기" 운영 모델을 보여주는 확장 프로그램 수명 주기

기술 개요

모든 확장 프로그램은 일관된 특징을 공유합니다. 매니페스트 V3(MV3) 아키텍처는 거의 동일한 권한 및 호스트 권한을 가지고 있습니다. 특히, 이러한 확장 프로그램 중 상당수는 스토어에서 "추천" 배지를 달고 있었습니다. 이 표시는 일반적으로 검증된 고품질 확장 프로그램과 연관되며, 사용자에게 신뢰의 표시로 눈에 띄게 표시됩니다. 결과적으로, 기본 확장 프로그램의 코드와 동작 방식이 덜 눈에 띄는 변형과 동일한 경우에도 사용자의 의심을 크게 줄이고 설치 가능성을 높입니다.

그들은 또한 확장 프로그램의 스토어 페이지에도 유사한 스크린샷을 업로드했습니다. 

그림 2. Google Chrome 및 Microsoft Edge 마켓플레이스의 확장 프로그램

모든 확장 프로그램은 틱톡 동영상 메타데이터 추출 및 동영상 다운로드와 같은 합법적인 기능을 유지하면서도 다음과 같은 기능을 포함합니다. 선언된 기능과 선언되지 않은 기능 모두..

원격 구성

확장 프로그램은 공격자가 제어하는 ​​서버에서 구성을 가져옵니다. 이를 통해 확장 프로그램은 다음과 같은 작업을 수행할 수 있습니다.

• 확장 프로그램 동작을 즉시 변경하세요
• 기능 활성화 또는 비활성화
• 네트워크 활동 리디렉션
• 데이터 수집 확대

원격 구성을 수신한다는 것은 내선 번호의 동작이 다음과 같다는 것을 의미합니다. 고정되어 있지 않거나 완전히 보이지 않음그리고 언제든지 원격으로 변경될 수 있었습니다. 매장 리뷰 우회 또한 이전에는 볼 수 없었던 데이터 흐름이나 기능을 가능하게 합니다.

그림 3. 원격 구성 구조

여러 샘플에서 공통적으로 나타나는 주목할 만한 패턴은 다음과 같습니다. 지연된 역량 주입악성 기능이 도입되었습니다. 최초 출판 후 6~12개월이를 통해 확장 프로그램은 먼저 평판을 쌓고 초기 검토를 피할 수 있습니다.

사용자 지문

이러한 확장 프로그램은 사용자의 도구 사용 빈도, 상호 작용하는 콘텐츠, 언어, 시간대, 사용자 에이전트와 같은 다양한 장치 특성을 포함하여 사용자에 대한 자세한 원격 측정 데이터를 수집합니다. 심지어 배터리 상태까지 수집되는데, 이는 흔하지는 않지만 매우 유용한 정보입니다. 장치 지문.

그림 4. 사용자 지문 인식

C&C 인프라 및 위협 원인 분석

이 캠페인의 특징은 외부 구성 서버에 의존한다는 점입니다. 동작을 하드코딩하는 대신, 여러 변종은 공격자가 제어하는 ​​도메인에서 JSON 구성 파일을 가져옵니다.

• https://user.trafficreqort.com/data.json
• https://report.browsercheckdata.com/info.json
• https://check.qippin.com/config.json
• https://help.virtualbrowserer.com/rest.json

이러한 도메인 중 일부는 "와 같은 타이포스쿼팅 패턴을 포함하여 명백한 기만 행위를 보여줍니다.트래픽요청"대신"교통 보고서"또는"틱탁"대신"Tik의 톡이러한 미묘한 불일치는 그럴듯한 정당성을 유지하면서도 일상적인 검토를 피하기 위해 종종 사용됩니다.

직접적인 배후를 특정할 수는 없지만, 코드, 인프라 패턴 및 운영 방식의 일관성은 단일 행위자 또는 긴밀하게 조직된 그룹의 소행임을 강력하게 시사합니다.

맺음말

이 캠페인은 브라우저 확장 프로그램 악용 방식의 광범위한 변화를 보여주는 사례입니다. 공격자는 노골적인 악성 코드를 배포하는 대신, 합법적인 기능을 악용하여 장기적인 접근 및 제어 권한을 확보합니다.

진정한 위험은 확장 프로그램이 현재 수행하는 기능이 아니라 미래에 수행할 수 있는 기능에 있습니다. 원격 구성 기능을 통해 확장 프로그램은 설치 후에도 진화할 수 있는 적응형 도구로 변모하며, 인증된 세션 및 브라우징 컨텍스트에 대한 접근 권한은 데이터 수집 및 잠재적 악용에 특히 유용하게 활용될 수 있습니다.

현재 상태에서도 이러한 확장 기능은 상세한 사용자 프로파일링을 가능하게 합니다. 사용 패턴, 다운로드한 콘텐츠, 기기 특성, 시간대 및 언어와 같은 환경 데이터 등의 정보를 수집합니다. 이러한 정보들을 종합하여 사용자를 세션 간에, 나아가 여러 서비스 간에 추적하는 데 사용할 수 있는 고유한 특징을 만들어냅니다.

최악의 경우, 동일한 메커니즘이 더 광범위한 데이터 유출, 인증된 요청 악용 또는 더 큰 프록시나 봇넷과 같은 인프라에 통합되는 데 재활용될 수 있습니다.

이 캠페인을 특히 탐지하기 어렵게 만드는 것은 바로 그 운영 모델입니다.

• 초기 버전은 깨끗하거나 의심스러운 부분이 거의 없습니다.
• 행동은 지연되고 원격으로 제어됩니다.
• 각 확장 프로그램은 독립적인 제품으로 제공됩니다.
• 스토어의 신뢰 신호(예: "추천 상품" 배지)는 사용자의 상품 검토를 줄여줍니다.

이는 현재 보안 체계의 근본적인 허점을 드러냅니다. 대부분의 보안 도구는 설치 시 유효성 검사에 초점을 맞추지만, 실제 위험은 런타임에 발생합니다.

이 문제를 해결하려면 설치 후 네트워크 활동, DOM 상호 작용 및 권한 사용 변화를 감지할 수 있는 브라우저 확장 기능의 지속적인 행동 기반 모니터링으로의 전환이 필요합니다. LayerX의 최신 기술은 브라우저 수준에서 실시간 가시성과 제재 기능을 제공하여 이러한 격차를 해소하도록 설계되었습니다. 이를 통해 조직은 겉보기에 합법적이거나 이전에 신뢰했던 확장 프로그램에서 발생하는 악성 행위까지도 식별하고 차단할 수 있습니다.

이 모델에서 브라우저 확장 프로그램은 더 이상 정적인 도구가 아니라 원격으로 제어되고 시간이 지남에 따라 진화하는 살아있는 기반이 됩니다.

침해 지표(IOC)

확장

도메인

trafficreqort.com

browsercheckdata.com

qippin.com

virtualbrowserer.com

이메일

• [이메일 보호]
• [이메일 보호]
• [이메일 보호]
• [이메일 보호]
• [이메일 보호]
• [이메일 보호]
• [이메일 보호]
• [이메일 보호]

전술, 기술 및 절차(TTP)

추천

보안 전문가, 기업 보안 담당자 및 브라우저 개발자는 다음과 같은 조치를 취해야 합니다.

• 관리 환경 내의 감사 확장 기능, 특히 정책 제어 외부에 설치된 기능.
• 마켓플레이스 검증에만 의존하는 대신, 설치 후 확장 프로그램 동작에 초점을 맞춘 런타임 모니터링 방식을 채택하십시오.
• 무단 네트워크 활동이나 의심스러운 DOM 조작을 감지하기 위해 행동 기반 확장 모니터링 기술을 배포하십시오.
• 설치 시 검토뿐 아니라 런타임 모니터링 및 시행을 강화하여 백엔드 인프라로 인해 발생하는 설치 후 동작 변경 사항을 감지해야 합니다.

• 공유하기 :