Uma campanha massiva de malware conhecida como "StealTok" envolve pelo menos 12 extensões de navegador inter-relacionadas. Essas extensões se disfarçam de downloaders de vídeos do TikTok, mas secretamente rastreiam a atividade do usuário e coletam dados sensíveis.
A campanha descoberta pela segurança da LayerX afetou mais de 130.000 usuários em todo o mundo, com aproximadamente 12.500 instalações ainda ativas nas lojas de mercado do Google Chrome e Microsoft Edge. Os atacantes usam uma abordagem altamente organizada, lançando múltiplos clones ou versões ligeiramente rebrandeadas da mesma extensão principal.
Como a campanha funciona
Isso cria uma operação resiliente: quando uma extensão é identificada e removida, os atores de ameaças fazem o upload de um novo clone para substituí-la. Para ganhar a confiança do usuário, as extensões maliciosas inicialmente funcionam perfeitamente como anunciado, permitindo que os usuários baixem vídeos do TikTok sem marcas d'água.
Muitas dessas ferramentas até ganharam o selo "Destacado" nas lojas de extensão oficiais, reduzindo significativamente a suspeita do usuário e aumentando o número de downloads. O que torna essa campanha particularmente perigosa é o uso de injeção de capacidade atrasada.
Por 6 a 12 meses, as extensões se comportam legítimamente, construindo uma reputação sólida e passando por revisões de segurança iniciais. Uma vez que tempo suficiente tenha passado, as extensões se conectam a servidores de comando e controle externos para baixar configurações remotas dinâmicas.
Esse mecanismo oculto permite que os atacantes alterem fundamentalmente o comportamento da extensão, transformando um downloader de vídeo inofensivo em uma ferramenta de spyware poderosa sem alertar o usuário ou a loja de mercado.
Coleta de dados e rastreamento
Após as funcionalidades maliciosas serem ativadas, as extensões começam a coletar silenciosamente telemetria extensiva do usuário. Elas monitoram padrões de uso, rastreiam conteúdo baixado e coletam dados de alta entropia, como fuso horário, configurações de idioma e até status da bateria do dispositivo.
Ao combinar esses pontos de dados específicos, os atacantes podem criar uma "impressão digital" altamente precisa do dispositivo do usuário, permitindo que eles rastreiem o usuário através de diferentes sessões web e serviços. Para esconder esse roubo de dados, as extensões enviam as informações para domínios enganosos com nomes errados, como "trafficreqort.com", para evitar detecção casual.
Extensões ativas e removidas
Pesquisadores de segurança da LayerX identificaram várias extensões específicas envolvidas na campanha StealTok. No Google Chrome, as ameaças ativas incluem "TikTok Downloader – Save Videos, No Watermark" com 3.000 instalações, "TikTok Video Downloader – Bulk Save" com 1.000 instalações e "Tiktok Downloader" com 353 instalações.
No Microsoft Edge, as extensões maliciosas ativas incluem "Mass Tiktok Video Downloader" com 77 instalações e outra versão chamada "TikTok Downloader – Save Videos, No Watermark" com 47 instalações. Várias versões altamente populares desse malware já foram removidas do Google Chrome, incluindo "TikTok Video Keeper", que atingiu 60.000 instalações, e "Video Downloader for Tiktok", que teve 20.000 instalações.
Recomendações de segurança
Se você tiver alguma dessas extensões instaladas, especialistas em segurança aconselham removê-las imediatamente e alterar senhas para contas sensíveis. Essa campanha destaca uma fraqueza crítica na segurança atual do navegador: confiar apenas na validação no momento da instalação não é mais suficiente.
Porque essas extensões usam configurações remotas para evoluir, o risco real acontece muito depois do download inicial. Especialistas em segurança recomendam que as organizações adotem monitoramento contínuo baseado em comportamento para detectar atividade de rede suspeita, coleta de dados oculta e uso inesperado de permissões em tempo real.
Implicações para organizações
Empresas devem revisar as políticas de instalação de extensões de navegador em dispositivos corporativos. O monitoramento de tráfego de rede deve ser ajustado para identificar conexões a domínios suspeitos ou padrões de comunicação anômalos que indiquem exfiltração de dados. A conscientização dos usuários sobre os riscos de extensões de terceiros é fundamental para prevenir infecções futuras.