TikTok video indirme aracı gibi davranan bir grup tarayıcı uzantısı, kullanıcıları gizlice izlediği ve veri topladığı tespit edildi; bu da Microsoft Edge genelinde Google Chrome 130.000’den fazla kişiyi etkiledi.
LayerX’teki güvenlik araştırmacıları, kampanyaya dahil olan en az 12 uzantı tespit etti ve onlara “StealkTok” adını verdiler. Bu uzantılar TikTok videolarını indirmek için araç olarak sunulmuş, ancak gizli gözetim yetenekleriyle çalışıyordu.
Araştırmacılara göre, uzantılar kullanıcılar hakkında gezinme faaliyetleri, indirilen içerik, cihaz verileri ve çevresel detaylar dahil olmak üzere ayrıntılı bilgiler topladı. Toplanan veriler, operatörlerin kullanıcı profilleri oluşturmasına ve web siteleri genelinde davranışları izlemesine olanak sağladı.
Uzantılar ayrıca uzaktan kumanda işlevselliğini de içeriyordu. Bu, operatörlerin davranışları dinamik olarak güncelleyebilmelerini mümkün kılarak yapılandırmaları harici sunuculardan getirebilmesini sağladı. Araştırmacılar, bu yeteneğin veri sızdırması veya daha büyük zararlı altyapıya entegrasyon gibi ek eylemleri mümkün kılabileceğini belirtti.
Tanımlanan uzantıların çoğu benzer kodu paylaşıyor ve aynı temel yazılımın değiştirilmiş versiyonları olarak tanımlanıyordu. Bu desen, tek bir tehdit aktörünün birden fazla varyantın sürdürülmesi ve dağıtılmasından sorumlu olduğunu gösteriyordu.
Kampanya, tespit edilmemek için gecikmeli bir aktivasyon yöntemi kullandı. Uzantılar başlangıçta reklam edildiği gibi altı ila on iki ay arasında çalıştıktan sonra güncellemelerle kötü niyetli özellikler tanıttı. Bu yaklaşım, platform inceleme süreçlerini geçmelerini ve kullanıcı kurulumlarını işaretlenmeden önce biriktirmelerini sağladı.
Uzantıların birkaçı önemli indirme sayılarına ulaştı. Bildirilen rakamlar arasında bir uzantı için 60.000, başka bir uzantı için 30.000 ve on binlerce kullanıcıya sahip birçok başka kurulum yer alıyor.
Tanımlanan bazı uzantılar, ‘s Web Store dahil Google Chrome olmak üzere resmi tarayıcı mağazalarından kaldırıldı. Ancak araştırmacılar, açıklama sırasında birkaç cihazın mevcut olduğunu bildirdi.
Tarayıcı eklentileri genellikle gezinme verilerine erişim ve web sayfalarıyla etkileşime izin veren izinler gerektirir. Güvenlik araştırmaları, bu tür izinlerin sömürüldüğünde hassas bilgi toplamak veya tarayıcı davranışını değiştirmek için kullanılabileceğini daha önce göstermiştir.
Bu bulgular, resmi pazarlar aracılığıyla dağıtılan kötü amaçlı tarayıcı eklentileriyle ilgili bir dizi olaya ek olarak ekleniyor. Araştırmaçılar, güncellemeler yoluyla zararlı işlevsellik sunabilme yeteneğinin, platform uygulama sistemleri için hâlâ önemli bir zorluk olduğunu belirtti.