Исследователи безопасности LayerX обнаружили кампанию, включающую как минимум 12 взаимосвязанных расширений для браузеров, которые маскируются под программы для загрузки видео из TikTok, но на самом деле отслеживают активность пользователей и собирают данные. Расширения используют общий код и являются клонами или слегка модифицированными версиями друг друга, что указывает на то, что это давняя и постоянная кампания, проводимая одними и теми же злоумышленниками.
Расширения также используют механизм динамической удаленной настройки, что позволяет им обходить процессы проверки на торговых площадках. Это позволяет вредоносным расширениям изменять свое поведение и функциональность после установки, без ведома пользователей или торговых площадок. Согласно исследованию LayerX, расширения обычно работают легально в течение 6–12 месяцев, прежде чем начать внедрять вредоносные функции.
В результате, даже когда некоторые из этих расширений помечаются как нежелательные и удаляются, легко создать новые клоны и загрузить их в магазины расширений. Некоторые даже появляются в магазинах расширений в качестве «рекомендуемых», расширяя свою аудиторию и укрепляя доверие пользователей к ним.
На сегодняшний день в рамках этой кампании были взломаны данные более 130 000 пользователей.
Расширенные сведения:
В магазинах приложений Chrome и Microsoft Edge выявлена масштабная кампания, в рамках которой используются как минимум 12 расширений для браузеров, маскирующихся под программы для загрузки видео из TikTok. Хотя эти расширения предоставляют заявленную функциональность (загрузка видео из TikTok, часто без водяных знаков), одновременно они реализуют скрытое отслеживание, возможности удаленной настройки и механизмы сбора данных.
Кампания оказала влияние на более чем пользователи 130,000с примерно 12,500 XNUMX активных установок на момент анализа. Все образцы принадлежат к одной из следующих групп. семейство отдельных кодов, что указывает на скоординированную операцию с использованием клонированных, переименованных и слегка модифицированных расширений для максимального охвата и сохранения активности.
Помимо проблем с конфиденциальностью, использование удаленные точки конфигурации Это создает существенный риск для безопасности, позволяя вносить изменения в поведение после установки, которые обходят механизмы проверки на торговой площадке.
Основные выводы
- Действовал один актёр. 12+ расширений с общей кодовой базой
- Более Затронуто 130 тысяч пользователей, ~12.5 тыс. все еще активны
- Используемые расширения удаленная конфигурация обойти проверку магазина
- Собранный данные дактилоскопии с высокой энтропией (включая состояние батареи)
- Многие были представлено в официальных магазинахповышение доверия и расширение охвата
Структура и результаты кампании
Эта кампания процветает благодаря повторение и вариативность.
Вместо того чтобы создавать новые инструменты с нуля, оператор поддерживает базовую архитектуру расширений и выпускает несколько её версий:
- Некоторые из них представляют собой практически идентичные клоны.
- Другие же представляют собой лишь незначительный ребрендинг.
- Некоторые вводят постепенные изменения или новую инфраструктуру.
Внешне они выглядят как отдельные продукты: «TikTok Video Downloader», «Mass TikTok Downloader», «No Watermark Saver». Но по сути, это одно и то же.
Примечательно, что многие из этих расширений имели значок «Рекомендуемые» в магазине, что обычно ассоциируется с проверенными, высококачественными расширениями, значительно повышая доверие пользователей и их использование, несмотря на существующие риски.
Это создает устойчивая экосистемаКогда одно расширение помечается как заблокированное или удаляется, другие остаются активными. Новые расширения можно быстро загрузить, часто с теми же скриншотами, описаниями и функциональностью.
Результатом является непрерывный цикл:
- Загрузите чистое или минимально подозрительное расширение.
- Завоюйте пользователей и доверие.
- Внедрение дополнительных возможностей осуществляется посредством обновлений.
- Частично удалено или помечено как нарушающее правила
- Появляются под новыми именами
Это не просто кампания по распространению вредоносного ПО – это… операционная модельгде устойчивость достигается за счет дублирования, ребрендинга и быстрого перераспределения ресурсов.
Рисунок 1. Жизненный цикл расширения, иллюстрирующий операционную модель «бей крота».
Технический обзор
Все расширения имеют одинаковый общий принцип. Манифест V3 (MV3) архитектура с практически идентичными правами доступа и правами доступа хоста. Примечательно, что многие из этих расширений имели значок «Рекомендуемые» в магазине. Это обозначение обычно ассоциируется с проверенными, высококачественными расширениями и заметно отображается для пользователей как знак доверия. В результате это значительно снижает подозрительность пользователей и повышает вероятность установки, даже если базовое расширение использует тот же код и поведение, что и менее заметные варианты.
Аналогичные скриншоты были также загружены на страницу расширения в магазине.
Рисунок 2. Расширения в магазинах расширений Google Chrome и Microsoft Edge.
Хотя все расширения сохраняют свои законные возможности, такие как извлечение метаданных видео из TikTok и загрузка видео, они также включают в себя как заявленные, так и незаявленные возможности..
Удаленная настройка
Расширения получают конфигурацию с серверов, контролируемых злоумышленниками. Это позволяет расширениям...
- Мгновенно изменяйте поведение расширения
- Включить или отключить функции
- Перенаправление сетевой активности
- Расширить сбор данных
Получение удалённых конфигураций означает, что поведение расширения меняется. не закреплен или не полностью видени мог быть изменен удаленно в любой момент. обход проверки магазина и обеспечивая невидимые потоки данных или возможности.
Рисунок 3. Структура удаленной конфигурации
Заметная закономерность, наблюдаемая во всех образцах, заключается в следующем: отложенное внедрение возможностейбыли внедрены вредоносные функции. 6–12 месяцев после первоначальной публикацииЭто позволяет расширениям сначала завоевать репутацию и избежать первоначальной проверки.
Отпечаток пользователя
Эти расширения собирают подробную телеметрию о пользователях, включая частоту использования инструмента, контент, с которым они взаимодействуют, а также различные характеристики устройства, такие как язык, часовой пояс и пользовательский агент. Записывается даже состояние батареи — необычный, но ценный сигнал для дактилоскопия устройства.
Рисунок 4. Идентификация пользователя по отпечаткам пальцев.
Инфраструктура управления и контроля и атрибуция угроз
Отличительной чертой этой кампании является зависимость от внешних серверов конфигурации. Вместо жесткого кодирования поведения, несколько вариантов получают JSON-файлы конфигурации с доменов, контролируемых злоумышленниками:
- https://user.trafficreqort.com/data.json
- https://report.browsercheckdata.com/info.json
- https://check.qippin.com/config.json
- https://help.virtualbrowserer.com/rest.json
Некоторые из этих доменов демонстрируют явные признаки обмана, включая такие схемы тайпсквоттинга, как «транспортный отчет" вместо "отчет о дорожной ситуации, либотиктак" вместо "TikTokЭти едва заметные несоответствия часто используются для того, чтобы избежать поверхностного анализа, сохраняя при этом правдоподобную легитимность.
Хотя прямого установления авторства невозможно, согласованность кода, инфраструктурных моделей и операционного поведения убедительно указывает на причастность одного лица или же тесно скоординированной группы.
Заключение
Эта кампания иллюстрирует более масштабную тенденцию в злоупотреблениях расширениями для браузеров. Вместо того чтобы использовать явно вредоносный код, оператор применяет легитимные функции в качестве механизма доставки для долгосрочного доступа и контроля.
Реальный риск заключается не в том, что расширения делают сегодня, а в том, на что они способны завтра. Удалённая настройка превращает их в адаптируемые инструменты, которые могут развиваться после установки, а доступ к аутентифицированным сессиям и контексту просмотра делает их особенно ценными для сбора данных и потенциальной эксплуатации.
Даже в своем нынешнем состоянии эти расширения позволяют создавать подробные профили пользователей. Они собирают информацию о моделях использования, загруженном контенте, характеристиках устройства и данных об окружающей среде, таких как часовой пояс и язык. В совокупности это создает «отпечаток пальца», который можно использовать для отслеживания пользователей в разных сессиях и, возможно, в разных сервисах.
В худшем случае те же самые механизмы могут быть использованы для более масштабной утечки данных, злоупотребления аутентифицированными запросами или интеграции в более крупные прокси-серверы или ботнет-подобные инфраструктуры.
Особенно сложно обнаружить эту кампанию из-за ее операционной модели:
- Первоначальные версии являются чистыми или вызывают минимальные подозрения.
- Поведение откладывается и контролируется дистанционно.
- Каждое расширение представлено как независимый продукт.
- Сигналы доверия к магазину (например, значки «Рекомендуемый») снижают уровень контроля со стороны пользователей.
Это указывает на фундаментальный пробел в существующих системах защиты: большинство инструментов безопасности сосредоточены на проверке на этапе установки, в то время как реальный риск возникает во время выполнения.
Для решения этой проблемы необходим переход к непрерывному мониторингу возможностей расширений браузера на основе анализа поведения, позволяющему обнаруживать изменения в сетевой активности, взаимодействии с DOM и использовании разрешений после установки. Новейшая технология LayerX призвана устранить этот пробел, обеспечивая видимость и контроль в режиме реального времени на уровне браузера, что позволяет организациям выявлять и блокировать вредоносное поведение расширений, даже если оно исходит от, казалось бы, легитимных или ранее доверенных расширений.
В этой модели расширение для браузера перестает быть статичным инструментом, оно становится живой опорой, управляемой удаленно и развивающейся со временем.
Индикаторы компрометации (IOC)
Расширения
| ID | Имя | Устанавливается | Браузер | Статус |
| injnjbcogjhcjhnhcbmlahgikemedbko | TikTok Downloader – Сохранение видео без водяных знаков | 3,000 | Google Chrome | Активных |
| ehdkeonoccndeaggbnolijnmmeohkbpf | Загрузчик видео из TikTok – массовое сохранение | 1,000 | Google Chrome | Активных |
| пфпиджакнпангмкфдпгодлбокпхпкека | Загрузчик Тикток | 353 | Google Chrome | Активных |
| cfbgdmiobbicgjnaegnenlcgbdabkcli | Программа для скачивания видео из TikTok – сохранение без водяных знаков. | 4,000 | Google Chrome | Активных |
| mpalaahimeigibehbocnjipjfakekfia | Массовая загрузка видео из TikTok | 77 | Microsoft Edge | Активных |
| kkhjihaeddnhknninbekkhaklnailngh | Программа для скачивания видео из TikTok – сохранение без водяных знаков. | 9 | Microsoft Edge | Активных |
| kbifpojhlkdoidmndacedmkbjopeekgl | TikTok Downloader – Сохранение видео без водяных знаков | 47 | Microsoft Edge | Активных |
| jacilgchggenbmgbfnehcegalhlgpnhf | Массовое видео в TikTok
Загрузчик |
4,000 | Google Chrome | Активных |
| oaceepljpkcbcgccnmlepeofkhplkbih | Массовая загрузка видео из TikTok | 30,000 | Google Chrome | удален |
| ilcjgmjecbhpgpipmkfkibjopafpbcag | TikTok Downloader – Сохранение видео без водяных знаков | 10,000 | Google Chrome | удален |
| kmobjdioiclamniofdnngmafbhgcniok | Хранитель видео TikTok | 60,000 | Google Chrome | удален |
| cgnbfcoeopaehocfdnkkjecibafichje | Загрузчик видео для Tiktok | 20,000 | Google Chrome | удален |
Домены
trafficreqort.com
browsercheckdata.com
qippin.com
virtualbrowserer.com
Сообщения электронной почты
- [электронная почта защищена]
- [электронная почта защищена]
- [электронная почта защищена]
- [электронная почта защищена]
- [электронная почта защищена]
- [электронная почта защищена]
- [электронная почта защищена]
- [электронная почта защищена]
Тактика, методы и процедуры (TTP)
| тактика | Техника |
| разведывательный | LX1.001(T1589) – Сбор идентификационной информации |
| разведывательный | LX1.003 – Сбор данных о закономерностях |
| Первоначальный доступ | LX3.003 (T1199) – Доверительные отношения |
| Доступ к учетным данным | LX8.008 – Вмешательство в сеть |
| Дискавери | LX9.011 – Обнаружение оборудования |
СОВЕТЫ
Специалистам по безопасности, корпоративным защитникам и разработчикам браузеров следует предпринять следующие действия:
- Расширения для аудита в управляемых средах, особенно те, которые установлены вне рамок политик управления.
- Внедрите подходы к мониторингу в режиме реального времени, которые сосредоточены на поведении расширений после установки, а не полагаются исключительно на проверку на торговой площадке.
- Внедрите технологии мониторинга расширений на основе анализа поведения для обнаружения несанкционированной сетевой активности или подозрительных манипуляций с DOM-структурой.
- Необходимо усилить мониторинг и контроль в процессе выполнения, а не только при проверке во время установки, чтобы выявлять изменения в поведении после установки, вызванные работой серверной инфраструктуры.
