Un gruppo di estensioni browser che si spacciano per strumenti di download video di TikTok è stato scoperto in modo segreto per monitorare gli utenti e raccogliere dati, coinvolgendo più di 130.000 persone in tutto Google Chrome Microsoft Edge.
I ricercatori di sicurezza di LayerX hanno identificato almeno 12 estensioni coinvolte nella campagna, che hanno chiamato “StealkTok.” Le estensioni venivano presentate come strumenti per scaricare video su TikTok, ma funzionavano con capacità di sorveglianza nascoste.
Secondo i ricercatori, le estensioni hanno raccolto informazioni dettagliate sugli utenti, inclusi l’attività di navigazione, i contenuti scaricati, i dati dei dispositivi e i dettagli ambientali. I dati raccolti hanno permesso agli operatori di costruire profili utente e monitorare il comportamento tra i siti web.
Le estensioni includevano anche la funzionalità di controllo remoto. Questo permetteva agli operatori di aggiornare il comportamento dinamicamente recuperando configurazioni da server esterni. I ricercatori hanno dichiarato che questa capacità potrebbe consentire azioni aggiuntive come l’esfiltrazione dei dati o l’integrazione in infrastrutture dannose più ampie.
La maggior parte delle estensioni identificate condivideva codice simile ed era descritta come versioni modificate dello stesso software di base. Questo schema indicava che un singolo attore minaccioso era responsabile della manutenzione e distribuzione di più varianti.
La campagna utilizzò un metodo di attivazione ritardata per evitare il rilevamento. Le estensioni inizialmente hanno funzionato come dichiarato per periodi che variavano da sei a dodici mesi, prima di introdurre funzionalità dannose tramite aggiornamenti. Questo approccio permetteva loro di superare i processi di revisione della piattaforma e accumulare installazioni utente prima di essere segnalati.
Diverse estensioni hanno raggiunto un numero significativo di download. I dati riportati includono 60.000 installazioni per un’estensione, 30.000 per un’altra e molte altre con decine di migliaia di utenti.
Alcune delle estensioni identificate sono state rimosse dagli store ufficiali dei browser, incluso Google Chrome il Web Store di ‘s. Tuttavia, i ricercatori hanno riferito che diversi erano ancora disponibili al momento della divulgazione.
Le estensioni browser richiedono tipicamente permessi che permettano l’accesso ai dati di navigazione e l’interazione con le pagine web. Le ricerche sulla sicurezza hanno già dimostrato che tali permessi possono essere utilizzati per raccogliere informazioni sensibili o modificare il comportamento del browser quando sfruttati.
I risultati si aggiungono a una serie di incidenti che coinvolgono estensioni di browser malevoli distribuite tramite marketplace ufficiali. I ricercatori hanno osservato che la capacità di introdurre funzionalità dannose tramite aggiornamenti rimane una sfida chiave per i sistemi di applicazione delle piattaforme.