- Najmanje 12 lažnih ekstenzija za TikTok za Chrome i Edge kompromitovalo je više od 130.000 korisnika
- Predstavljaju se kao oni koji preuzimaju video s TikToka, ali aktiviraju funkcije špijuniranja nakon višemjesečnog korištenja.
- Koriste Manifest V3 i udaljenu konfiguraciju kako bi promijenili svoje ponašanje, a da korisnik to ne primijeti.
- Španija i Evropa su pogođene, te se preporučuje pregled ekstenzija, brisanje sumnjivih i jačanje sigurnosti.
Ogromna popularnost TikToka postala je magnet za sajber kriminalce, koji iskorištavaju privlačnost platforme kako bi se infiltrirali među korisnike. lažne ekstenzije u preglednicima poput Google Chromea i Microsoft EdgeaPod krinkom jednostavnih programa za preuzimanje videa, ovi dodaci su uspjeli da se infiltriraju u službene trgovine i dosegnu više od 130.000 korisnika širom svijeta, uključujući hiljade u Evropi i Španiji.
Daleko od toga da je riječ o izoliranoj anegdoti, istraživači govore o dobro organizirana, velika kampanjaU ovoj tehnici, napadači ponovo koriste isti kod kako bi kreirali više, gotovo identičnih varijanti. Strategija je jasna: steći povjerenje korisnika legitimnom funkcionalnošću, prikupiti pozitivne recenzije, a zatim, nakon nekog vremena, tiho aktivirati visoko precizan sistem špijuniranja.
Kako funkcionišu otkrivene lažne TikTok ekstenzije
Upozorenje je izdato LayerX Security, firma za sajber sigurnostkoji je dokumentirao najmanje 12 zlonamjernih ekstenzija povezanih s TikTokom objavljenih u službenim Chrome i Edge trgovinama. Sve dijele istu kodnu bazu, s malim varijacijama u nazivu, ikoni ili opisu, ali je interno ponašanje gotovo identično.
Ovi dodaci su predstavljeni kao Alati za preuzimanje TikTok videa, često bez vodenog žigaNazivi poput „TikTok Downloader – Spremanje videa, bez vodenog žiga“, „Masovno preuzimanje TikTok videa“ ili „TikTok Downloader – Bulk Save“ vrlo su privlačni svima koji koriste web verziju TikTok-a i žele brzo spremiti sadržaj.
U početku, ekstenzija radi upravo ono što obećava: Omogućava vam preuzimanje videa sa TikToka na naizgled normalan način.Ova legitimna funkcionalnost služi kao savršena fasada kako bi se izbjegla sumnja i, usput rečeno, kako bi se dobile pozitivne recenzije i solidna korisnička baza.
Međutim, pravi cilj je skriven iza tog prvog sloja. Sva ova proširenja su razvijena na osnovu Manifest V3 (MV3), trenutna arhitektura ekstenzija za Chrome i derivateZahvaljujući njoj, oni mogu povezivanje s vanjskim serverima kontrolišu napadači, od kojih primaju konfiguracijske datoteke i upute u stvarnom vremenu.
Sistem za špijuniranje koji se aktivira mjesecima kasnije
Jedan od ključnih aspekata ove kampanje je da ekstenzije ne počinju čudno da se ponašaju od prvog dana. Prema analizi LayerX Security-a, Ovi alati rade između šest i dvanaest mjeseci s potpuno legitimnim ponašanjem.Tokom tog perioda, korisnik vidi da ekstenzija preuzima video zapise bez problema, stiče samopouzdanje i zaboravlja da ju je instalirao.
Nakon što ekstenzije prikupe dobar broj instalacija, komentara i pozitivnih ocjena, napadači daljinski aktivirati zlonamjerni teretNema obavještenja, nema novih prozora, nema zahtjeva za dodatne dozvole: promjena ponašanja se dešava u pozadini i korisniku se čini da sve ostaje isto.
Od tog trenutka nadalje, komplement počinje promijenite postavke i omogućite skrivene funkcijeIzmeđu ostalog, može preusmjeriti promet na zlonamjerne krajnje tačke, proširiti domene koje prati ili aktivirati napredne mehanizme praćenja bez intervencije korisnika.
Ovaj „dvofazni“ model – prvo sticanje povjerenja, a zatim napad – predstavlja kvalitativni skok u poređenju s osnovnijim kampanjama, gdje je zlonamjerno ponašanje bilo trenutno i stoga lakše za otkrivanje i blokiranje. Ovdje Strpljenje i izgradnja reputacije su najvažniji.Ovo uveliko komplikuje rad i korisnika i samih prodavnica ekstenzija.
Podaci koje prikupljaju i zašto su toliko opasni
Nakon aktiviranja, ekstenzije počinju prikupljati veliku količinu podataka preglednika. One ne samo da bilježe posjećene stranice; one također generiraju visoko detaljni otisci prstiju svakog korisnikaCilj je omogućiti jedinstvenu identifikaciju osobe, čak i ako mijenja sesije ili se povezuje u različito vrijeme.
Prikupljene informacije uključuju obrasci korištenja preglednika, učestalost pregledavanja, vrsta konzumiranog sadržaja, vremenska zona, postavke sistema i drugi tehnički parametri. Posebno je vrijedna pažnje upotreba neobičnih indikatora, poput nivoa baterije uređaja, jer pomažu u daljnjem preciziranju generiranog profila.
Svi ovi podaci se šalju na komandni i kontrolni serveri smješteni u pažljivo prikrivenim domenimaNapadači koriste tehnike tiposquattinga, što znači da koriste adrese gotovo identične legitimnim web stranicama, s malim varijacijama koje je teško uočiti na prvi pogled. To im omogućava da izbjegnu brzo blokiranje od strane automatiziranih sigurnosnih sistema.
Rezultat je digitalni sistem nadzora vrlo precizno i teško za praćenjesposoban za praćenje aktivnosti korisnika tokom vremena i potencijalno unakrsno povezivanje tih informacija s drugim podacima ukradenim u različitim kampanjama. Iako još nije identificirana specifična grupa, infrastruktura i koordinacija ukazuju na dobro organiziranog aktera.
Specifična proširenja uključena u kampanju
Istraživači su objavili detaljan popis ekstenzija povezanih s ovom kampanjom, zajedno sa njihovim internim identifikatorima (ID-ovima) u Chromeu i Edgeu. Među otkrivenima su:
- TikTok Downloader – Sačuvajte video zapise, bez vodenog žiga (nekoliko varijanti sa različitim ID-ovima).
- TikTok Video Downloader – Skupno spremanje.
- TikTok Downloader (generička verzija).
- TikTok Video Downloader – Sačuvaj bez vodenog žiga (dvije različite varijante).
- Masovni program za preuzimanje videa s TikTok-a (više izdanja).
- Čuvar TikTok videa.
- Program za preuzimanje videa za TikTok.
Ukupno, ova proširenja čine više od 130.000 instalacija širom svijetai procjenjuje se da je u vrijeme posljednje analize oko 12.500 još uvijek bilo aktivno. Neki od njih su čak bili označeni kao „Istaknuto“ u službenim trgovinama, oznaka koja obično služi za isticanje kvalitetnih alata i koja je, u ovom slučaju, Osjećaj samopouzdanja se još više povećao. između korisnika
Iako nije objavljen pregled po državama, razumno je pretpostaviti da Korisnici u Španiji i ostatku Evrope su također pogođeniS obzirom na masovnu upotrebu preglednika zasnovanih na TikToku i Chromiumu u regiji, svako ko je nedavno instalirao ekstenziju za preuzimanje TikTok videa iz Chromea ili Edgea trebao bi pažljivo pregledati svoju listu dodataka.
Kako prepoznati da li imate instalirane ove lažne ekstenzije
Problem kod ovakvih kampanja je to što mnoge žrtve Ne primjećuju ništa čudno u svom svakodnevnom životuPreglednik radi normalno, TikTok se učitava bez problema, a videozapisi se preuzimaju kao i obično. Da biste saznali da li ste pogođeni, morate direktno otići u postavke ekstenzija vašeg preglednika.
U Google Chromeu mu možete pristupiti tako što ćete upisati hrom: // ekstenzije u adresnoj traci (upit Kako ukloniti obavještenja iz Chromea). U programu Microsoft Edge, ekvivalentna putanja je edge://extensionsOdatle ćete vidjeti kompletnu listu instaliranih dodataka, aktivnih i neaktivnih.
Sledeći korak je Pretražite po imenu bilo koju referencu na TikTok, "Downloader", "Video Downloader", "Mass Downloader" ili slične varijante. Ako pronađete bilo koju ekstenziju koja odgovara opisanoj porodici (po nazivu, ikoni ili funkciji), najbolje je da joj ne date korist sumnje.
Ako vaš preglednik prikazuje interni ID svake ekstenzije, možete ga uporediti s identifikatorima koje je objavio LayerX Security. Uprkos tome, Nema potrebe previše komplikovati stvari: ako se ne sjećate da ste svjesno instalirali ekstenziju ili niste sigurni u njeno porijeklo.Najrazumnije što možete učiniti je deinstalirati ga.
Šta učiniti ako ste koristili lažnu ekstenziju za TikTok
Ako otkrijete da ste imali instalirano neko od ovih proširenja, čak i ako ih više ne koristite, važno je djelovati brzo kako bi se rizici smanjili na minimumKoraci koje preporučuju stručnjaci za sigurnost su relativno jednostavni, ali ih je najbolje poduzeti smireno.
Prva je uklonite ekstenziju preglednika iz same ploče za upravljanje dodacima. Privremeno onemogućavanje nije dovoljno; mora se potpuno deinstalirati kako bi se prekinula sva komunikacija sa serverima napadača.
Zatim, preporučljivo je Promijenite lozinke za svoje najosjetljivije račune, posebno one kojima ste pristupili iz tog preglednika dok je ekstenzija bila aktivna: e-pošta, društvene mrežeOnline bankarstvo, računi za online kupovinu itd. Ovo je također dobar trenutak za aktiviranje dvofazne verifikacije (2FA).
Preporučuje se pregled nedavne aktivnosti na vašim profilima i glavnim uslugamau slučaju da dođe do bilo kakvih čudnih kretanja: prijava s nepoznatih lokacija, poruka poslanih bez vašeg pristanka, neočekivanih kupovina ili promjena u sigurnosnim postavkama.
Konačno, to je dobra ideja. Pokrenite potpuno skeniranje ažuriranim antivirusnim programom ili sigurnosnim paketom., u slučaju da je ekstenzija preuzela dodatne komponente ili otvorila vrata drugim prijetnjama tokom instalacije.
Zašto službene trgovine nisu zaustavile ovu kampanju
Činjenica da su ekstenzije ovog tipa objavljene – pa čak i predstavljene – u Chrome i Edge prodavnicama pokreće pitanja o efikasnost sistema pregleda i validacije od Googlea i Microsofta. Međutim, sama struktura kampanje objašnjava dio problema.
Za početak, napadači Oni ne kreiraju svaku ekstenziju od nule.Umjesto toga, oni iznova i iznova koriste istu kodnu bazu, mijenjajući samo manje detalje poput imena ili teksta opisa. Ako se otkrije i ukloni verzija, oni odmah postavljaju gotovo identičnu varijantu, čak zadržavajući iste promotivne slike.
Ovo je pored pristupa odgođene aktivacije: Tokom prvih nekoliko mjeseci, dodatak je radio besprijekorno.prolazeći sve automatizirane testove i početne revizije. Tek kada se akumulira dovoljna kritična masa korisnika, aktiviraju se funkcije daljinski upravljanog špijuniranja.
Nadalje, arhitektura Manifest V3, teoretski dizajnirana da ojačati sigurnost i ograničiti obim proširenjaTakođer uvodi mehanizme komunikacije s vanjskim serverima koji, u zlonamjernim rukama, omogućavaju promjenu ponašanja bez potrebe za objavljivanjem novih verzija vidljivih korisniku.
Sve ovo stvara sliku u kojoj, čak i uz uspostavljene kontrole, Dobro isplanirane kampanje mogu proći ispod radara nekoliko mjeseci.Stoga insistiranje da korisnik zauzme kritičniji stav i da ne vjeruje slijepo da je ekstenzija sigurna samo zato što se nalazi u službenoj trgovini.
Savjeti za sigurnije pregledavanje sadržaja ako koristite TikTok u svom pregledniku
Pored ovog specifičnog slučaja, stručnjaci naglašavaju da svaka ekstenzija instalirana u pregledniku povećava površinu napadaŠto više dodataka imate, to je više potencijalnih ulaznih tačaka za zlonamjernu kampanju. Smanjenje broja dodataka je zapravo vrlo efikasna sigurnosna mjera.
Prva preporuka je Instalirajte samo ekstenzije koje su vam zaista potrebneizbjegavajući one univerzalne programe za preuzimanje koji obećavaju da će uraditi sve i tako pomoći zaštitite se od adwarea.
Takođe je zgodan Detaljno pregledajte dozvole koje zahtijeva svaki dodatak. Prije prihvatanja instalacije, provjerite da li ekstenzija namijenjena preuzimanju videa zahtijeva potpuni pristup svim web stranicama ili vašim podacima pregledavanja. Ovo je jasan znak da nešto nije u redu.
Još jedna dobra praksa je redovno čistiti preglednikDeinstalirajte sve što više ne koristite, uklonite duplicirane funkcije (više blokatora, više programa za preuzimanje itd.) i povremeno provjerite šta je još aktivno. Ovaj brzi pregled može spriječiti da ekstenzija bude zaboravljena godinama.
Na kraju, to je neophodno Redovno ažurirajte svoj preglednik i operativni sistemkao i korištenje sigurnosnih rješenja koja prate ne samo vrijeme preuzimanja, već i ponašanje ekstenzija tokom vremena.
S obzirom na to šta se dogodilo s lažnim ekstenzijama za TikTok, jasno je da kombinacija popularnosti društvene mreže, tehničke jednostavnosti i prevelikog samopouzdanja korisnika To je savršeno plodno tlo za tihe špijunske kampanje. Svođenje broja dodataka na minimum, sumnjičavost prema "čudotvornim" programima za preuzimanje i povremena provjera onoga što je instalirano u vašem pregledniku postalo je gotovo jednako važno kao i korištenje jakih lozinki ili omogućavanje dvostepene verifikacije.
