Eine Gruppe von Browser-Erweiterungen, die sich als TikTok-Video-Download-Tools ausgeben, wurde entdeckt, die Nutzer heimlich überwachen und Daten sammeln, was mehr als 130.000 Personen in Microsoft Google Chrome Edge betrifft.
Sicherheitsforscher bei LayerX identifizierten mindestens 12 Erweiterungen, die an der Kampagne beteiligt waren, die sie “StealkTok” nannten. Die Erweiterungen wurden als Werkzeuge zum Herunterladen von TikTok-Videos präsentiert, arbeiteten jedoch mit versteckten Überwachungsfunktionen.
Laut den Forschern sammelten die Erweiterungen detaillierte Informationen über Nutzer, darunter Surfaktivitäten, heruntergeladene Inhalte, Gerätedaten und Umweltdetails. Die gesammelten Daten ermöglichten es Betreibern, Benutzerprofile zu erstellen und das Verhalten auf Websites zu überwachen.
Die Erweiterungen beinhalteten außerdem eine Fernbedienungsfunktion. Dies ermöglichte es Operatoren, das Verhalten dynamisch zu aktualisieren, indem sie Konfigurationen von externen Servern abrufen. Forscher gaben an, dass diese Funktion zusätzliche Maßnahmen wie Datenexfiltration oder Integration in größere bösartige Infrastruktur ermöglichen könnte.
Die meisten der identifizierten Erweiterungen teilten ähnlichen Code und wurden als modifizierte Versionen derselben Basissoftware beschrieben. Dieses Muster zeigte, dass ein einzelner Bedrohungsakteur für die Pflege und Verteilung mehrerer Varianten verantwortlich war.
Die Kampagne verwendete eine verzögerte Aktivierungsmethode, um nicht entdeckt zu werden. Die Erweiterungen funktionierten zunächst wie beworben für Zeiträume von sechs bis zwölf Monaten, bevor sie durch Updates schädliche Funktionen einführten. Dieser Ansatz ermöglichte es ihnen, Plattform-Review-Prozesse zu bestehen und Nutzerinstallationen zu sammeln, bevor sie markiert wurden.
Mehrere der Erweiterungen erreichten erhebliche Download-Zahlen. Die gemeldeten Zahlen umfassen 60.000 Installationen für eine Erweiterung, 30.000 für eine andere und mehrere weitere mit Zehntausenden von Nutzern.
Einige der identifizierten Erweiterungen wurden aus offiziellen Browser-Stores entfernt, darunter Google Chrome auch aus dem Web Store. Forscher berichteten jedoch, dass zum Zeitpunkt der Offenlegung noch mehrere verfügbar waren.
Browsererweiterungen benötigen typischerweise Berechtigungen, die Zugriff auf Browserdaten und Interaktion mit Webseiten ermöglichen. Sicherheitsforschung hat bereits gezeigt, dass solche Berechtigungen genutzt werden können, um sensible Informationen zu sammeln oder das Browserverhalten bei Ausnutzung zu verändern.
Die Ergebnisse ergänzen eine Reihe von Vorfällen mit bösartigen Browsererweiterungen, die über offizielle Marktplätze verteilt werden. Forscher stellten fest, dass die Möglichkeit, schädliche Funktionen durch Updates einzuführen, weiterhin eine zentrale Herausforderung für Plattformdurchsetzungssysteme darstellt.