Un groupe d’extensions de navigateur se faisant passer pour des outils de téléchargement vidéo TikTok a été découvert capable de surveiller secrètement les utilisateurs et de collecter des données, affectant plus de 130 000 personnes à travers Google Chrome Microsoft Edge.
Les chercheurs en sécurité de LayerX ont identifié au moins 12 extensions impliquées dans la campagne, qu’ils ont nommées « StealkTok ». Les extensions étaient présentées comme des outils pour télécharger des vidéos TikTok, mais fonctionnaient avec des capacités de surveillance cachées.
Selon les chercheurs, les extensions recueillaient des informations détaillées sur les utilisateurs, notamment l’activité de navigation, le contenu téléchargé, les données de l’appareil et les détails environnementaux. Les données collectées ont permis aux opérateurs de créer des profils utilisateurs et de surveiller le comportement sur les sites web.
Les extensions incluaient également la télécommande. Cela permettait aux opérateurs de mettre à jour leur comportement dynamiquement en récupérant des configurations depuis des serveurs externes. Les chercheurs ont indiqué que cette capacité pourrait permettre des actions supplémentaires telles que l’exfiltration de données ou l’intégration dans une infrastructure malveillante plus vaste.
La plupart des extensions identifiées partageaient un code similaire et étaient décrites comme des versions modifiées du même logiciel de base. Ce schéma indiquait qu’un seul acteur menaçant était responsable de la maintenance et de la distribution de multiples variantes.
La campagne utilisait une méthode d’activation différée pour éviter la détection. Les extensions fonctionnaient initialement comme annoncé pendant des périodes allant de six à douze mois avant d’introduire des fonctionnalités malveillantes via des mises à jour. Cette approche leur permettait de passer les processus d’évaluation de plateforme et d’accumuler les installations utilisateurs avant d’être signalés.
Plusieurs des extensions ont atteint un nombre important de téléchargements. Les chiffres rapportés incluent 60 000 installations pour une extension, 30 000 pour une autre, et plusieurs autres avec des dizaines de milliers d’utilisateurs.
Certaines des extensions identifiées ont été retirées des boutiques officielles de navigateurs, y compris Google Chrome le Web Store de ‘s. Cependant, les chercheurs ont rapporté que plusieurs restaient disponibles au moment de la divulgation.
Les extensions de navigateur nécessitent généralement des autorisations permettant d’accéder aux données de navigation et d’interagir avec les pages web. Des recherches en matière de sécurité ont déjà montré que de telles permissions peuvent être utilisées pour collecter des informations sensibles ou modifier le comportement du navigateur lorsqu’elles sont exploitées.
Ces résultats s’ajoutent à une série d’incidents impliquant des extensions malveillantes de navigateurs distribuées via des places de marché officielles. Les chercheurs ont noté que la capacité à introduire des fonctionnalités nuisibles via des mises à jour reste un défi majeur pour les systèmes d’application des plateformes.