Проверьте свои расширения в Chrome и Edge прямо сейчас
Популярные загрузчики видео из TikTok оказались шпионским ПО
Рассказываем о цифровой западне, в которую угодило уже сотни тысяч пользователей.Популярные расширения для скачивания видео из TikTok оказались частью скрытой схемы слежки. За удобной функцией загрузки роликов скрывался сбор данных и отслеживание активности, а сама кампания затронула уже более 130 тысяч пользователей.
Команда LayerX обнаружила не менее двенадцати браузерных расширений, доступных в магазинах Chrome и Microsoft Edge, которые маскировались под инструменты для загрузки видео. Все варианты имели общий код и отличались лишь незначительными изменениями или новым оформлением. Такая повторяемость указывает на длительную и организованную деятельность одной группы.
Расширения действительно выполняли заявленные функции — позволяли скачивать видео, часто без водяных знаков. Но параллельно они собирали подробную информацию о поведении пользователей: какие ролики просматриваются, как часто используется инструмент, а также технические параметры устройства, включая язык, часовой пояс и даже уровень заряда батареи. Такой набор данных позволяет формировать уникальный цифровой отпечаток.
Ключевой элемент схемы — удалённая конфигурация. После установки расширение подключалось к серверам, подконтрольным операторам, и получало инструкции. Такой механизм позволял менять поведение программы в любой момент, обходя проверку магазинов. По данным LayerX, вредоносные функции часто появлялись лишь через 6–12 месяцев после публикации, когда расширение уже набирало аудиторию и вызывало доверие.
Многие из этих расширений даже получали отметку «Featured» в официальных магазинах, что дополнительно снижало подозрения и увеличивало число установок. При удалении одного варианта быстро появлялись новые копии с тем же функционалом и визуальным оформлением.
Инфраструктура кампании строилась на внешних серверах с конфигурационными файлами. Некоторые домены маскировались под легитимные адреса с небольшими искажениями в названии, что усложняло обнаружение. Несмотря на отсутствие прямых доказательств, сходство кода и инфраструктуры указывает на одного оператора или тесно связанную группу.
Такая схема показывает сдвиг в подходах злоумышленников. Вместо явного вредоносного кода используется легитимный инструмент, который со временем превращается в средство сбора данных. Основная опасность связана не столько с текущими функциями, сколько с возможностью незаметно добавить новые — от перехвата трафика до более масштабных атак.
Случай подчёркивает слабое место в защите браузерных расширений. Проверка при публикации не учитывает изменения поведения после установки, что делает подобные кампании устойчивыми и трудноуловимыми.
Источник
Команда LayerX обнаружила не менее двенадцати браузерных расширений, доступных в магазинах Chrome и Microsoft Edge, которые маскировались под инструменты для загрузки видео. Все варианты имели общий код и отличались лишь незначительными изменениями или новым оформлением. Такая повторяемость указывает на длительную и организованную деятельность одной группы.
Расширения действительно выполняли заявленные функции — позволяли скачивать видео, часто без водяных знаков. Но параллельно они собирали подробную информацию о поведении пользователей: какие ролики просматриваются, как часто используется инструмент, а также технические параметры устройства, включая язык, часовой пояс и даже уровень заряда батареи. Такой набор данных позволяет формировать уникальный цифровой отпечаток.
Ключевой элемент схемы — удалённая конфигурация. После установки расширение подключалось к серверам, подконтрольным операторам, и получало инструкции. Такой механизм позволял менять поведение программы в любой момент, обходя проверку магазинов. По данным LayerX, вредоносные функции часто появлялись лишь через 6–12 месяцев после публикации, когда расширение уже набирало аудиторию и вызывало доверие.
Многие из этих расширений даже получали отметку «Featured» в официальных магазинах, что дополнительно снижало подозрения и увеличивало число установок. При удалении одного варианта быстро появлялись новые копии с тем же функционалом и визуальным оформлением.
Инфраструктура кампании строилась на внешних серверах с конфигурационными файлами. Некоторые домены маскировались под легитимные адреса с небольшими искажениями в названии, что усложняло обнаружение. Несмотря на отсутствие прямых доказательств, сходство кода и инфраструктуры указывает на одного оператора или тесно связанную группу.
Такая схема показывает сдвиг в подходах злоумышленников. Вместо явного вредоносного кода используется легитимный инструмент, который со временем превращается в средство сбора данных. Основная опасность связана не столько с текущими функциями, сколько с возможностью незаметно добавить новые — от перехвата трафика до более масштабных атак.
Случай подчёркивает слабое место в защите браузерных расширений. Проверка при публикации не учитывает изменения поведения после установки, что делает подобные кампании устойчивыми и трудноуловимыми.
Источник
Нет комментариев