Um grupo de extensões de navegador que se passam por ferramentas de download de vídeos do TikTok foi descoberto monitorando secretamente usuários e coletando dados, afetando mais de 130.000 pessoas em todo Google Chrome o Microsoft Edge.
Pesquisadores de segurança da LayerX identificaram pelo menos 12 extensões envolvidas na campanha, que eles nomearam de “StealkTok”. As extensões eram apresentadas como ferramentas para baixar vídeos do TikTok, mas operavam com capacidades de vigilância ocultas.
Segundo os pesquisadores, as extensões coletaram informações detalhadas sobre os usuários, incluindo atividade de navegação, conteúdo baixado, dados de dispositivos e detalhes ambientais. Os dados coletados permitiram que os operadores construíssem perfis de usuário e monitorassem comportamentos em vários sites.
As extensões também incluíam funcionalidade de controle remoto. Isso permitia que os operadores atualizassem o comportamento dinamicamente ao buscar configurações de servidores externos. Pesquisadores afirmaram que essa capacidade poderia permitir ações adicionais, como a exfiltração de dados ou integração em infraestruturas maliciosas maiores.
A maioria das extensões identificadas compartilhava código semelhante e era descrita como versões modificadas do mesmo software base. Esse padrão indicava que um único ator ameaçador era responsável por manter e distribuir múltiplas variantes.
A campanha utilizou um método de ativação retardada para evitar a detecção. As extensões inicialmente funcionaram conforme anunciado por períodos que variavam de seis a doze meses antes de introduzirem recursos maliciosos por meio de atualizações. Essa abordagem permitia que eles passassem por processos de revisão de plataforma e acumulassem instalações de usuários antes de serem sinalizados.
Várias das extensões alcançaram números significativos de downloads. Os números relatados incluem 60.000 instalações para uma extensão, 30.000 para outra, e várias outras com dezenas de milhares de usuários.
Algumas das extensões identificadas foram removidas das lojas oficiais de navegadores, incluindo Google Chrome a Web Store de ‘s. No entanto, pesquisadores relataram que vários ainda estavam disponíveis no momento da divulgação.
Extensões de navegador normalmente exigem permissões que permitem acesso a dados de navegação e interação com páginas web. Pesquisas de segurança já mostraram anteriormente que tais permissões podem ser usadas para coletar informações sensíveis ou modificar o comportamento do navegador quando exploradas.
As descobertas se somam a uma série de incidentes envolvendo extensões maliciosas de navegador distribuídas por meio de marketplaces oficiais. Pesquisadores observaram que a capacidade de introduzir funcionalidades prejudiciais por meio de atualizações continua sendo um desafio fundamental para os sistemas de fiscalização de plataformas.