Исследователи израильской компании LayerX обнаружили масштабную скоординированную кампанию, в рамках которой злоумышленники распространяли вредоносные расширения для браузеров под видом загрузчиков видео с TikTok. По меньшей мере 12 взаимосвязанных дополнений в магазинах Google Chrome и Microsoft Edge, установленных свыше 130 тысяч раз, на деле представляли собой один и тот же инструмент слежения за пользователями. Эта история высвечивает серьёзный системный изъян в модерировании официальных магазинов расширений, где злоумышленники научились обходить проверки, а их творения даже получали статус "Рекомендуемых".
Описание
Вредоносные расширения работали по единому сценарию. Пользователи устанавливали их, привлечённые заявленной функциональностью - возможностью скачивать видео из TikTok, часто без водяных знаков. И эта функция действительно работала, что создавало видимость легитимности. Однако параллельно, часто спустя 6-12 месяцев после публикации, дополнения начинали собирать детальную телеметрию. Специалисты LayerX обнаружили, что сбор данных включал не только историю использования инструмента и просматриваемый контент, но и детальную информацию об устройстве: язык, часовой пояс, данные пользовательского агента и даже статус заряда батареи. Последний параметр является высокоэнтропийным признаком и особенно ценится для создания уникального цифрового отпечатка (fingerprinting) пользователя, позволяющего отслеживать его в интернете.
Главной технической особенностью, обеспечившей долгосрочную и скрытную работу кампании, стал механизм удалённой конфигурации. Все расширения были построены на основе единой кодовой базы по спецификации Manifest V3 и периодически запрашивали JSON-конфигурации с управляемых злоумышленниками серверов. Это позволяло операторам кампании дистанционно изменять поведение дополнений уже после их установки, включать или отключать функции, перенаправлять сетевой трафик и расширять сбор данных. Таким образом, изначально "чистая" версия расширения, прошедшая проверку магазина, позже могла быть превращена в полноценный инструмент слежения, минуя любые процедуры ревью. Некоторые домены, использовавшиеся для конфигурации, содержали признаки типосквоттинга (typosquatting), например, "trafficreqort.com" вместо "trafficreport.com", что является классическим приёмом для маскировки под легитимные ресурсы.
Операционная модель кампании оказалась эффективной и устойчивой. Вместо создания уникальных инструментов злоумышленники клонировали и слегка модифицировали одно базовое расширение, выпуская его под разными названиями: "TikTok Video Downloader", "Mass TikTok Downloader", "No Watermark Saver". Когда одно из дополнений попадало под подозрение и удалялось из магазина, другие продолжали работу, а на его место быстро загружался новый клон. Эта стратегия "испорченного телефона" создавала порочный круг, крайне затрудняющий полное устранение угрозы. Особое доверие пользователей вызывал тот факт, что многие из этих расширений имели в магазинах статус "Featured" (Рекомендуемые), который традиционно ассоциируется с проверенными, качественными продуктами и снижает уровень подозрительности.
Реальная опасность подобных кампаний выходит далеко за рамки сбора данных для таргетированной рекламы. Обладая доступом к контексту браузера и авторизованным сессиям, такие расширения потенциально могут быть использованы для перехвата конфиденциальной информации, проведения атак на уровне приложений или даже интеграции устройств жертв в бот-сети. Их способность динамически менять функционал по команде с удалённого сервера превращает браузерное расширение из статичного инструмента в живой, эволюционирующий плацдарм для атаки. Текущие защитные механизмы, сфокусированные преимущественно на проверке в момент публикации в магазине, оказываются неэффективны против такой модели.
Ситуация требует пересмотра подходов к безопасности на уровне браузера в корпоративной среде. Традиционные антивирусы и средства защиты конечных точек часто не могут детально анализировать поведение расширений в реальном времени. Противодействие таким угрозам требует внедрения решений, способных постоянно мониторить активность дополнений, анализировать сетевые запросы, использование разрешений и взаимодействие с веб-страницами уже после установки. Это позволит выявлять и блокировать подозрительное поведение, даже если оно исходит от формально легитимного расширения, однажды получившего доверие пользователя и магазина. Обнаруженная кампания служит наглядным примером того, как злоумышленники эксплуатируют разрыв между процедурой проверки и реальной эксплуатацией, превращая доверенные каналы распространения софта в эффективный инструмент для скрытного сбора данных.
Индикаторы компрометации
Domains
- browsercheckdata.com
- qippin.com
- trafficreqort.com
- virtualbrowserer.com
Emails
- chrisungeran@gmail.com
- claushertzog@gmail.com
- donaldstieller@gmail.com
- freyttags@gmail.com
- jacksonlothar@gmail.com
- jurgendorff@gmail.com
- rufolast@gmail.com
- stevestanding028@gmail.com
Extensions
- cfbgdmiobbicgjnaegnenlcgbdabkcli TikTok Video Downloader – Save Without Watermark
- cgnbfcoeopaehocfdnkkjecibafichje Video Downloader for Tiktok
- ehdkeonoccndeaggbnolijnmmeohkbpf TikTok Video Downloader – Bulk Save
- ilcjgmjecbhpgpipmkfkibjopafpbcag TikTok Downloader – Save Videos, No Watermark
- injnjbcogjhcjhnhcbmlahgikemedbko TikTok Downloader – Save Videos, No Watermark
- jacilgchggenbmgbfnehcegalhlgpnhf Mass Tiktok Video Downloader
- kbifpojhlkdoidmndacedmkbjopeekgl TikTok Downloader – Save Videos, No Watermark
- kkhjihaeddnhknninbekkhaklnailngh TikTok Video Downloader – Save Without Watermark
- kmobjdioiclamniofdnngmafbhgcniok TikTok Video Keeper
- mpalaahimeigibehbocnjipjfakekfia Mass Tiktok Video Downloader
- oaceepljpkcbcgccnmlepeofkhplkbih Mass Tiktok Video Downloader
- pfpijacnpangmkfdpgodlbokpkhpkeka Tiktok Downloader
