Varnostni raziskovalci LayerX so odkrili kampanjo vsaj 12 medsebojno povezanih razširitev brskalnika, ki se maskirajo kot programi za prenos videoposnetkov s TikToka, v resnici pa sledijo dejavnosti uporabnikov in zbirajo podatke. Razširitve imajo skupno kodno bazo in so vse kloni ali rahlo spremenjene različice druga druge, kar kaže na to, da gre za dolgotrajno in vztrajno kampanjo istih akterjev grožnje.
Razširitve imajo tudi mehanizem za dinamično oddaljeno konfiguracijo, ki jim omogoča, da obidejo postopke pregledovanja na tržnicah. To zlonamernim razširitvam omogoča, da po namestitvi spremenijo svoje vedenje in funkcionalnost, ne da bi se uporabniki ali tržnice tega zavedali. Glede na raziskavo LayerX razširitve običajno delujejo legitimno 6–12 mesecev, preden uvedejo zlonamerne funkcije.
Posledično je tudi, ko so nekatere od teh razširitev označene in odstranjene, enostavno ustvariti nove klone in jih naložiti v trgovine z razširitvami. Nekatere so se v trgovinah z razširitvami celo pojavile kot »Izpostavljene«, kar je razširilo njihov doseg in zaupanje uporabnikov v njih.
Do danes je bilo v okviru te kampanje ogroženih več kot 130,000 uporabnikov.
Razširjene podrobnosti:
V spletnih trgovinah Chrome in Microsoft Edge je bila odkrita obsežna kampanja, v katero je bilo vpletenih vsaj 12 razširitev brskalnika, ki so se maskirale kot programi za prenos videoposnetkov s TikToka. Čeprav te razširitve zagotavljajo oglaševano funkcionalnost (prenos videoposnetkov s TikToka, pogosto brez vodnih žigov), hkrati izvajajo prikrito sledenje, možnosti oddaljene konfiguracije in mehanizme za zbiranje podatkov.
Kampanja je vplivala na več kot Uporabniki 130,000, s približno 12,500 aktivnih namestitev v času analize. Vsi vzorci pripadajo ena družina kod, kar kaže na usklajeno delovanje, ki izkorišča klonirane, preimenovane in nekoliko spremenjene razširitve za povečanje dosega in obstojnosti.
Poleg skrbi glede zasebnosti je uporaba oddaljene končne točke konfiguracije uvaja znatno varnostno tveganje, saj omogoča spremembe vedenja po namestitvi, ki zaobidejo mehanizme pregledovanja na trgu.
Ključni izdelki
- Deloval je en sam igralec 12+ razširitev z deljeno kodno bazo
- Over Prizadetih je bilo 130 tisoč uporabnikov, ~12.5 tisoč še vedno aktivnih
- Uporabljene razširitve oddaljena konfiguracija zaobiti pregled trgovine
- Zbrani podatki o prstnih odtisih z visoko entropijo (vključno s stanjem baterije)
- Mnogi so bili predstavljeno v uradnih trgovinah, povečanje zaupanja in dosega
Struktura in vpliv kampanje
Ta kampanja uspeva na ponavljanje in variacije.
Namesto da bi iz nič gradil nova orodja, operater vzdržuje osnovno arhitekturo razširitev in razvija več različic:
- Nekateri so skoraj identični kloni
- Drugi so rahlo preimenovani
- Nekaj jih uvaja postopne spremembe ali novo infrastrukturo
Od zunaj so videti kot ločeni izdelki: TikTok Video Downloader, »Mass TikTok Downloader« in »No Watermark Saver«. Pod pokrovom so enaki.
Omeniti velja, da je veliko teh razširitev v trgovini imelo oznako »Izpostavljeno«, kar je običajno povezano s preverjenimi, visokokakovostnimi razširitvami, kar je znatno povečalo zaupanje in uporabo uporabnikov kljub osnovnim tveganjem.
To ustvari a odporen ekosistemKo je ena razširitev označena ali odstranjena, druge ostanejo aktivne. Nove je mogoče hitro naložiti, pogosto z enakimi posnetki zaslona, opisi in funkcionalnostjo.
Rezultat je a neprekinjen cikel:
- Naloži čisto ali minimalno sumljivo razširitev
- Pridobite si uporabnike in zaupanje
- Uvedite dodatne zmogljivosti prek posodobitev
- Delna odstranitev ali prijava
- Ponovno se pojavijo pod novimi identitetami
To ni le kampanja zlonamerne programske opreme – to je operativni model, kjer se vztrajnost doseže s podvajanjem, preimenovanjem in hitro prerazporeditvijo.
Slika 1. Življenjski cikel razširitve, ki ponazarja operativni model »udari krta«
Tehnični pregled
Vse razširitve imajo dosleden Manifest V3 (MV3) arhitektura, s skoraj enakimi dovoljenji in dovoljenji gostitelja. Omeniti velja, da je veliko teh razširitev v trgovini imelo značko »Izpostavljeno«. Ta oznaka je običajno povezana s preverjenimi, visokokakovostnimi razširitvami in je uporabnikom vidno prikazana kot znak zaupanja. Posledično znatno zmanjša sum uporabnikov in poveča verjetnost namestitve, tudi če osnovna razširitev deli kodo in vedenje z manj vidnimi različicami.
Podobne posnetke zaslona so naložili tudi na stran trgovine razširitve.
Slika 2. Razširitve v trgovinah Google Chrome in Microsoft Edge Marketplaces
Čeprav vse razširitve ohranjajo svoje legitimne zmogljivosti, kot sta pridobivanje metapodatkov videoposnetkov TikTok in prenos videoposnetkov, vključujejo tudi tako deklarirane kot nedeklarirane zmogljivosti..
Oddaljena konfiguracija
Razširitve pridobivajo konfiguracijo s strežnikov, ki jih nadzorujejo napadalci. To razširitvam omogoča, da
- Takojšnja sprememba delovanja razširitve
- Omogočanje ali onemogočanje funkcij
- Preusmeritev omrežne aktivnosti
- Razširite zbiranje podatkov
Prejemanje oddaljenih konfiguracij pomeni, da je vedenje razširitve ni fiksno ali popolnoma vidnoin bi se lahko kadar koli spremenilo na daljavo obhod ocene trgovine in omogočanje nevidnih podatkovnih tokov ali zmogljivosti.
Slika 3. Struktura oddaljene konfiguracije
Opazen vzorec med vzorci je zakasnjeno vbrizgavanje zmogljivosti, so bile uvedene zlonamerne funkcije 6–12 mesecev po prvi objavi, kar razširitvam omogoča, da si najprej zgradijo ugled in se izognejo zgodnjemu nadzoru.
Uporabniški prstni odtis
Te razširitve zbirajo podrobne telemetrične podatke o uporabnikih, vključno s tem, kako pogosto uporabljajo orodje, s katero vsebino komunicirajo in različnimi značilnostmi naprave, kot so jezik, časovni pas in uporabniški agent. Zajame se celo stanje baterije, kar je nenavaden, a dragocen signal za prstni odtis naprave.
Slika 4. Uporabniški prstni odtis
Infrastruktura vodenja in nadzora ter pripisovanje groženj
Opredeljujoča značilnost te kampanje je njena odvisnost od zunanjih konfiguracijskih strežnikov. Namesto trdega kodiranja več različic pridobiva konfiguracijske datoteke JSON iz domen, ki jih nadzorujejo napadalci:
- https://user.trafficreqort.com/data.json
- https://report.browsercheckdata.com/info.json
- https://check.qippin.com/config.json
- https://help.virtualbrowserer.com/rest.json
Nekatere od teh domen kažejo jasne znake prevare, vključno z vzorci tipkarskih napak, kot je »prometno poročilo" namesto "prometno poročilo"Ali"tiktak" namesto "tik Tok"Te subtilne nedoslednosti se pogosto uporabljajo za izogibanje bežnemu pregledu, hkrati pa ohranjajo verodostojno legitimnost.
Čeprav ni mogoče neposredno pripisati vzroka, doslednost kode, vzorcev infrastrukture in operativnega vedenja močno kaže na enega samega akterja ali tesno usklajeno skupino.
zaključek
Ta kampanja ponazarja širši premik v načinu zlorabe razširitev brskalnika. Namesto uporabe očitno zlonamerne kode upravljavec izkorišča legitimne funkcije kot mehanizem za zagotavljanje dolgoročnega dostopa in nadzora.
Pravo tveganje ni v tem, kaj razširitve počnejo danes, temveč v tem, kaj bodo zmožne početi jutri. Oddaljena konfiguracija jih spremeni v prilagodljiva orodja, ki se lahko razvijajo po namestitvi, njihov dostop do overjenih sej in konteksta brskanja pa jih naredi še posebej dragocene za zbiranje podatkov in morebitno izkoriščanje.
Tudi v trenutnem stanju te razširitve omogočajo podrobno profiliranje uporabnikov. Zbirajo podatke o vzorcih uporabe, preneseni vsebini, značilnostih naprave in podatkih o okolju, kot sta časovni pas in jezik. Skupaj to ustvari prstni odtis, ki ga je mogoče uporabiti za sledenje uporabnikom med sejami in potencialno med storitvami.
V najslabšem primeru bi se isti mehanizmi lahko ponovno uporabili za širše izkrcanje podatkov, zlorabo overjenih zahtev ali integracijo v večje infrastrukture, podobne posrednikom ali botnetom.
To kampanjo je še posebej težko zaznati zaradi njenega operativnega modela:
- Začetne različice so čiste ali minimalno sumljive
- Vedenje je odloženo in daljinsko nadzorovano
- Vsaka razširitev se prikaže kot samostojen izdelek
- Signali zaupanja v trgovino (kot so značke »Izpostavljeno«) zmanjšujejo nadzor uporabnikov
To poudarja temeljno vrzel v trenutni obrambi: večina varnostnih orodij se osredotoča na preverjanje med namestitvijo, medtem ko se pravo tveganje pojavi med izvajanjem.
Reševanje tega problema zahteva prehod na neprekinjeno, na vedenju temelječe spremljanje zmogljivosti razširitev brskalnika, ki lahko zaznajo spremembe v omrežni dejavnosti, interakciji DOM in uporabi dovoljenj po namestitvi. Najnovejša tehnologija LayerX je zasnovana tako, da zapolni to vrzel z zagotavljanjem vidnosti v realnem času in izvrševanja na ravni brskalnika, kar organizacijam omogoča prepoznavanje in blokiranje zlonamernega vedenja razširitev, tudi če izvirajo iz na videz legitimnih ali prej zaupanja vrednih razširitev.
V tem modelu razširitev brskalnika ni več statično orodje, temveč živa opora, ki se upravlja na daljavo in se sčasoma razvija.
Kazalniki kompromisa (IOC)
razširitve
| ID | Ime | Namesti | brskalnik | Status |
| injnjbcogjhcjhnhcbmlahgikemedbko | TikTok Downloader – Shrani videoposnetke, brez vodnega žiga | 3,000 | Google Chrome | Aktivno |
| ehdkeonoccndeaggbnolijnmmeohkbpf | Prenosnik videoposnetkov TikTok – množično shranjevanje | 1,000 | Google Chrome | Aktivno |
| pfpijacnpangmkfdpgodlbokpkhpkeka | Tiktok Downloader | 353 | Google Chrome | Aktivno |
| cfbgdmiobbicgjnaegnenlcgbdabkcli | Prenosnik videoposnetkov TikTok – shrani brez vodnega žiga | 4,000 | Google Chrome | Aktivno |
| mpalaahimeigibehbocnjipjfakekfia | Masovni prenosnik videoposnetkov s TikToka | 77 | Microsoft Edge | Aktivno |
| kkhjihaeddnhknninbekhaklnailngh | Prenosnik videoposnetkov TikTok – shrani brez vodnega žiga | 9 | Microsoft Edge | Aktivno |
| kbifpojhlkdoidmndacedmkbjopeekgl | TikTok Downloader – Shrani videoposnetke, brez vodnega žiga | 47 | Microsoft Edge | Aktivno |
| jacilgchggenbmgbfnehcegalhlgpnhf | Masovni TikTok Video
Downloader |
4,000 | Google Chrome | Aktivno |
| oaceepljpkcbcgccnmlepeofkhplkbih | Masovni prenosnik videoposnetkov s TikToka | 30,000 | Google Chrome | Odstranjeno |
| ilcjgmjecbhpgpipmkfkibjopafpbcag | TikTok Downloader – Shrani videoposnetke, brez vodnega žiga | 10,000 | Google Chrome | Odstranjeno |
| kmobjdioiclamniofdnngmafbhgcniof | Ohranjevalnik videoposnetkov TikTok | 60,000 | Google Chrome | Odstranjeno |
| cgnbfcoeopaehocfdnkkjecibafichje | Prenosnik videoposnetkov za Tiktok | 20,000 | Google Chrome | Odstranjeno |
Domene
traffireqort.com
browsercheckdata.com
qippin.com
virtualbrowserer.com
E-pošta
- [e-pošta zaščitena]
- [e-pošta zaščitena]
- [e-pošta zaščitena]
- [e-pošta zaščitena]
- [e-pošta zaščitena]
- [e-pošta zaščitena]
- [e-pošta zaščitena]
- [e-pošta zaščitena]
Taktike, tehnike in postopki (TTP)
| Taktika | Tehnika |
| Izviđanje | LX1.001(T1589) – Zbiranje identifikacijskih podatkov |
| Izviđanje | LX1.003 – Zbiranje podatkov o vzorcih |
| Začetni dostop | LX3.003 (T1199) – Zaupanja vreden odnos |
| Dostop s poverilnicami | LX8.008 – Posegi v omrežje |
| Discovery | LX9.011 – Odkrivanje strojne opreme |
Priporočila
Varnostni strokovnjaki, zagovorniki podjetij in razvijalci brskalnikov bi morali ukrepati naslednje:
- Razširitve za nadzor v upravljanih okoljih, zlasti tiste, nameščene zunaj kontrolnikov pravilnikov.
- Uporabite pristope spremljanja izvajanja, ki se osredotočajo na vedenje razširitve po namestitvi, namesto da se zanašate izključno na preverjanje na trgu.
- Uvedite tehnologije za spremljanje razširitev na podlagi vedenja za odkrivanje nepooblaščene omrežne dejavnosti ali sumljivih manipulacij DOM.
- Okrepite spremljanje in uveljavljanje med izvajanjem, ne le pregleda med namestitvijo, da odkrijete spremembe vedenja po namestitvi, ki jih povzroča zaledna infrastruktura.
