Een groep browserextensies die zich voordoen als TikTok-videodownloadtools is ontdekt die gebruikers heimelijk monitoren en gegevens verzamelen, wat meer dan 130.000 mensen in Microsoft Google Chrome Edge treft.
Beveiligingsonderzoekers bij LayerX identificeerden minstens 12 extensies die bij de campagne betrokken waren, die ze “StealkTok” noemden. De extensies werden gepresenteerd als tools om TikTok-video’s te downloaden, maar werkten met verborgen bewakingsmogelijkheden.
Volgens de onderzoekers verzamelden de extensies gedetailleerde informatie over gebruikers, waaronder browseactiviteiten, gedownloade content, apparaatgegevens en omgevingsgegevens. De verzamelde gegevens stelden operators in staat gebruikersprofielen op te bouwen en gedrag op websites te monitoren.
De uitbreidingen bevatten ook afstandsbediening. Dit stelde operators in staat om hun gedrag dynamisch bij te werken door configuraties van externe servers op te halen. Onderzoekers gaven aan dat deze mogelijkheid extra acties mogelijk zou kunnen maken, zoals data-exfiltratie of integratie in grotere kwaadaardige infrastructuur.
De meeste geïdentificeerde extensies deelden vergelijkbare code en werden beschreven als aangepaste versies van dezelfde basissoftware. Dit patroon gaf aan dat één enkele dreigingsactor verantwoordelijk was voor het onderhouden en distribueren van meerdere varianten.
De campagne gebruikte een vertraagde activatiemethode om detectie te voorkomen. De extensies functioneerden aanvankelijk zoals geadverteerd gedurende periodes van zes tot twaalf maanden voordat ze kwaadaardige functies via updates introduceerden. Deze aanpak stelde hen in staat om platformbeoordelingsprocessen te doorlopen en gebruikersinstallaties te verzamelen voordat ze werden gemarkeerd.
Verschillende van de extensies bereikten aanzienlijke downloadaantallen. De gerapporteerde cijfers omvatten 60.000 installaties voor de ene extensie, 30.000 voor een andere, en meerdere andere met tienduizenden gebruikers.
Sommige van de geïdentificeerde extensies zijn verwijderd uit officiële browserwinkels, waaronder Google Chrome ‘s Web Store. Onderzoekers meldden echter dat er op het moment van de onthulling nog verschillende beschikbaar waren.
Browserextensies vereisen doorgaans permissies die toegang geven tot browsegegevens en interactie met webpagina’s. Beveiligingsonderzoek heeft eerder aangetoond dat dergelijke permissies kunnen worden gebruikt om gevoelige informatie te verzamelen of het gedrag van browsers te wijzigen wanneer ze worden misbruikt.
De bevindingen voegen zich bij een reeks incidenten met kwaadaardige browserextensies die via officiële marktplaatsen worden verspreid. Onderzoekers merkten op dat het vermogen om schadelijke functionaliteit via updates te introduceren een belangrijke uitdaging blijft voor systemen voor platformhandhaving.