Downloader di TikTok o ladri di dati? La truffa delle estensioni del browser che ha ingannato 130.000 utenti

Tutto è iniziato con una promessa semplice: scaricare i tuoi video TikTok preferiti con un solo clic. Ma per oltre 130.000 utenti, quella comodità nascondeva un vasto schema informatico che ha trasformato silenziosamente i loro browser in strumenti di sorveglianza. Dietro un branding curato e i badge ufficiali degli store, una rete di estensioni fraudolente ha raccolto dati sensibili per mesi - proprio sotto il naso sia degli utenti sia dei moderatori dei marketplace.

L’anatomia di un tradimento del browser

Gli investigatori di LayerX hanno scoperto una campagna altamente coordinata che ha trasformato in arma la fiducia che gli utenti ripongono nei marketplace delle estensioni del browser. Invece di creare nuovi strumenti, gli attaccanti hanno clonato un’unica base di codice, ribattezzandola con nomi come “TikTok Video Downloader” e “Mass TikTok Downloader”. Quando un’estensione veniva segnalata o rimossa, un gemello quasi identico compariva rapidamente, completo di screenshot e descrizioni riciclati.

L’inganno non si è fermato lì. Molte di queste estensioni sono riuscite a ottenere l’ambito badge “In primo piano”, un simbolo che di solito rassicura gli utenti sul fatto che un’app sia stata verificata per la sicurezza. Ma dietro le quinte, le estensioni erano tutt’altro che sicure. Operavano usando Manifest V3 (MV3), un moderno framework per estensioni del browser che, in questo caso, ha permesso alle app di recuperare istruzioni operative da server controllati dagli attaccanti. Questa configurazione remota ha consentito agli attaccanti di modificare a piacimento il comportamento delle estensioni, attivare o disattivare funzionalità e persino ampliare la raccolta dati - il tutto senza che l’utente ne fosse a conoscenza o avesse dato consenso.

Gli attaccanti hanno giocato sul lungo periodo. Per sei-dodici mesi dopo l’installazione, le estensioni si sono comportate come promesso, accumulando silenziosamente recensioni positive e una base di utenti fedele. Solo allora si sono attivate le funzionalità malevole, avviando un’ampia operazione di raccolta dati. I dati sottratti includevano non solo abitudini di navigazione o cronologie di download, ma anche impronte digitali del dispositivo - combinazioni uniche di metadati come lingua di sistema, fuso orario e perfino stato della batteria. Questo livello di dettaglio ha permesso agli attaccanti di tracciare gli individui tra sessioni con un’accuratezza inquietante.

Per controllare la loro rete, gli operatori hanno usato file di configurazione esterni ospitati su domini di typosquatting accuratamente costruiti - tipo “trafficreqort.com” invece di “trafficreport.com” - facendo apparire legittima la loro infrastruttura di comando ed eludendo le scansioni automatizzate. La sofisticazione della campagna e il comportamento sincronizzato suggeriscono un unico gruppo ben organizzato, anche se non è stato indicato alcun attore di minaccia specifico.

Perché le difese attuali non bastano

Questo incidente mette in luce un difetto critico nel modo in cui i browser proteggono gli utenti. La maggior parte dei controlli di sicurezza si concentra sul momento in cui un’estensione viene installata, ma questi attaccanti hanno sfruttato l’assenza di un controllo continuo. Una volta dentro la sessione del browser dell’utente - spesso autenticata e piena di dati sensibili - le estensioni malevole avevano mano libera per esfiltrare informazioni o gettare le basi per attacchi futuri.

Gli esperti avvertono ora che le organizzazioni devono passare a un monitoraggio continuo basato sul comportamento, osservando connessioni di rete sospette, richieste di permessi inattese e interazioni anomale con i contenuti delle pagine web molto tempo dopo l’installazione.

Conclusione

La truffa del downloader di TikTok è un promemoria netto: nel panorama delle minacce di oggi, la fiducia non basta. Man mano che gli attaccanti diventano più pazienti e creativi, sia gli utenti sia i team di sicurezza devono adattarsi - esaminando non solo ciò che è installato, ma come si comporta nel tempo. Per ora, il download più sicuro potrebbe essere quello su cui non clicchi mai.

TECHCROOK

Bitdefender Total Security è una suite di sicurezza pensata per ridurre i rischi legati a estensioni e navigazione web, tema centrale nelle truffe dei falsi downloader. Integra protezione in tempo reale contro malware e spyware, difese anti-phishing e anti-tracciamento, oltre a moduli di web protection che bloccano domini sospetti e tentativi di esfiltrazione dati. Include anche controlli sulla privacy (es. monitoraggio violazioni e strumenti per limitare la profilazione) e funzioni di hardening del sistema per mantenere aggiornati componenti critici. È indicato per chi vuole un livello di controllo continuo oltre i soli controlli dello store del browser, soprattutto su PC Windows e macOS. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

• Manifest V3 (MV3): Manifest V3 è l’ultimo framework di Google per le estensioni di Chrome, progettato per aumentare sicurezza, privacy ed efficienza per utenti e sviluppatori.
• Typosquatting: Il typosquatting è quando gli attaccanti usano nomi simili a quelli di siti o software affidabili per ingannare gli utenti e portarli su siti falsi o far scaricare malware.
• Device fingerprinting: Il device fingerprinting raccoglie dettagli unici del tuo dispositivo per identificarlo o tracciarlo online, spesso usato per sicurezza, pubblicità o per aggirare i controlli sulla privacy.
• Configurazione remota: La configurazione remota consente a software o dispositivi di ricevere aggiornamenti o istruzioni da server esterni dopo l’installazione, migliorando la gestione ma richiedendo una sicurezza robusta.
• Server di Command and Control (C2): Un server di Command and Control (C2) gestisce da remoto dispositivi infettati da malware, inviando istruzioni e ricevendo dati rubati dai sistemi compromessi.