TikTokダウンローダーに偽装した12個の詐欺的なブラウザ拡張機能が130,000人のユーザーを危険にさらす

LayerXセキュリティ研究者は、Google ChromeおよびMicrosoft Edgeのマーケットプレイスに関連する、少なくとも12個の悪意あるブラウザ拡張機能を含む、大規模で高度に調整されたキャンペーンを発見しました。

正規のTikTok動画ダウンローダーに偽装して、これらの拡張機能はユーザーのアクティビティを密かに追跡し、機密データを収集します。この操作は130,000人以上のユーザーを危険にさらしており、約12,500のインストールが今日も活動しています。

脅威アクターは、単一の共有コードベースを使用して複数のクローン化またはわずかに変更された拡張機能を作成することで、堅牢な運用モデルを維持しています。

新しいツールを一から構築する代わりに、彼らは“TikTok Video Downloader”や「Mass TikTok Downloader」などの名前で、コアアーキテクチャを継続的にリブランドしています。

ストア管理者が1つの拡張機能にフラグを立てたり削除したりすると、オペレーターは同じスクリーンショットと説明を使用して新しいクローンをすばやくアップロードしてその場所を占めます。

驚くことに、これらの悪意あるツールの多くは、公式ストアで「Featured」バッジを確保することに成功しました。

この指定は通常、検証されたアプリケーション用に予約されており、その存在はユーザーの信頼と全体的なダウンロード率を大幅に増加させました。

詐欺的なブラウザ拡張機能

このキャンペーンの最も危険な側面は、マーケットプレイスの審査プロセスをバイパスするために動的リモート構成を使用していることです。

すべての拡張機能はManifest V3（MV3）アーキテクチャを利用し、攻撃者制御のサーバーから動作指令を積極的に取得します。

このリモート機能により、脅威アクターは次のいくつかの悪意のあるアクションを実行できます：

早期検出を回避するために、オペレーターは意図的に遅延機能インジェクションを採用しています。

拡張機能は6～12ヶ月間正当に機能し、悪意のある追跡機能がリモートで有効化される前に、堅牢な評判とユーザーベースを構築します。

悪意のあるペイロードがトリガーされると、拡張機能は広範なユーザーテレメトリーの収集を静かに開始します。

このデータ収集は標準的な追跡をはるかに超えており、様々なウェブセッション全体で個人を識別できる高エントロピーデバイスフィンガープリントを作成することを目指しています。

キャプチャされたデータポイントには、使用頻度、ダウンロードされたコンテンツメタデータ、システム言語、およびタイムゾーン構成が含まれます。

拡張機能はさらにデバイスのバッテリー状態を追跡しており、これは正確なユーザープロファイリング用の非常にユニークで異常な信号として機能します。

キャンペーンは、攻撃者が制御するドメインでホストされている外部JSON構成ファイルに大きく依存しています。

脅威アクターは、これらのコマンドアンドコントロールサーバーを一般的な観察者と自動スキャナーに正当に見えるようにするために、欺瞞的なタイポスクワッティング手法を利用しています。

これらの欺瞞的なドメインの例には、「trafficreport」の代わりに「trafficreqort.com」、「tiktok」の代わりに「tiktak」が含まれます。

LayerXセキュリティ研究者は攻撃を特定の高度な持続的脅威（APT）グループに帰属させていないため、共有インフラストラクチャと同期された運用動作は、単一の高度に組織化された脅威アクターを示しています。

この操作は、現代のブラウザセキュリティ防御における基本的なギャップを強調しています。ほとんどのセキュリティツールは、インストール時に拡張機能を検証することに完全に焦点を当てており、リモートサーバーによって開始される実行時の変更に対してユーザーを脆弱なままにしています。

これらの拡張機能は認証されたブラウザセッション内で動作するため、重大なデータ流出またはボットネットインフラストラクチャへの将来の統合の可能性を持っています。

この進化する脅威モデルに対する防御には、継続的な動作ベースの監視に向けた組織のシフトが必要です。

セキュリティチームは、初期インストールプロセス完了後であっても、異常なネットワークアクティビティ、予期しないアクセス許可の使用、および承認されていないDocument Object Model（DOM）相互作用を検出するシステムを実装する必要があります。