LayerX Securityの研究者によると、大規模なブラウザ拡張機能キャンペーンが、悪意のあるツールをTikTokビデオダウンローダーに見せかけることで、13万人以上のユーザーを侵害しました。
このキャンペーンはGoogle ChromeとMicrosoft Edgeのマーケットプレイスの両方のユーザーを標的にしており、現在も約12,500件の感染が活動中です。
攻撃者は「TikTokビデオダウンローダー」や「Mass TikTokダウンローダー」などの名前を使用して、正当に見える少なくとも12個の拡張機能を公開しました。
脅威行為者は各拡張機能を個別に構築する代わりに、共有コードベースに依存して、アプリケーションを迅速に複製・リブランド化することができました。
1つの拡張機能がストア管理者によって削除されると、同じ説明と画像を使用して、ほぼ同一のバージョンがアップロードされ、継続的な利用可能性を保証しました。
注目すべきことに、これらの悪意のある拡張機能の一部は、公式拡張機能ストアで「注目」ステータスを取得することができました。
このバッジは通常、信頼できて審査済みのアプリケーションに関連付けられており、ユーザーの信頼度とダウンロード率を大幅に増加させ、キャンペーンのリーチを拡大しました。
キャンペーンの洗練性は、動的なリモート構成の使用にあります。すべての拡張機能はManifest V3(MV3)を使用して構築され、インストール後に攻撃者が制御するサーバーから運用指示を取得しました。
これにより、脅威行為者はストアのセキュリティチェックをトリガーすることなく、リアルタイムで動作を変更できました。
早期検出を回避するため、拡張機能は最初は数ヶ月間、宣伝通りに動作しました。ユーザーの信頼を獲得し、大規模なインストールベースを確保した後に初めて、攻撃者はトラッキングおよびデータ収集機能をリモートで有効にしました。
有効化されると、拡張機能は一意のユーザーフィンガープリントを構築するための詳細なテレメトリー収集を開始しました。
収集されたデータには、閲覧パターン、ダウンロードメタデータ、システム言語、タイムゾーン、さらにはバッテリーステータスが含まれていました。これは、デバイスを一意に識別するのに役立つ、珍しいメトリックです。
このレベルのトラッキングにより、セッション間でのユーザーの永続的な識別が可能になり、深刻なプライバシーとセキュリティの懸念が生じます。
この操作は、攻撃者が制御するドメインでホストされている外部のJSONベースの構成ファイルに依存していました。
これらのドメインは「trafficreqort.com」や「tiktak」などのタイポスクワッティング技術を使用して、正当に見え、ユーザーと自動ツール両方による検出を回避しました。
特定の脅威グループが特定されていませんが、調整されたインフラストラクチャと一貫したコードベースは、良く組織された持続的な行為者を示唆しています。
このキャンペーンは、主に初期の拡張機能の検証に焦点を当てているブラウザセキュリティモデルの重大な弱点を浮き彫りにしています。
これらの悪意のあるツールはインストール後に有害な動作を有効化するため、従来の防御を回避します。
ブラウザ拡張機能は認証されたセッション内で動作するため、機密データにアクセスできる可能性があり、ボットネット展開を含むより大規模な攻撃に利用される可能性があります。
セキュリティ専門家は、疑わしいネットワークリクエスト、不正な権限変更、および異常なDOM操作を含む異常な動作を検出する継続的な監視戦略を採用して、進化する拡張機能ベースの脅威を緩和することを推奨しています。
翻訳元: https://cyberpress.org/fake-tiktok-downloader-extensions/