Se ha emitido una alerta de seguridad tras el descubrimiento de una campaña masiva de malware denominada “StealTok”, descubierta por investigadores de seguridad. La operación involucra al menos 12 extensiones de navegador interconectadas que se hacen pasar por herramientas legítimas para descargar videos de TikTok sin marca de agua. La campaña ha afectado a más de 130,000 usuarios a nivel mundial, manteniendo aún aproximadamente 12,500 instalaciones activas en las tiendas oficiales de Google Chrome y Microsoft Edge.
Anatomía del Ataque
El éxito de esta campaña radica en su sofisticación operativa y sus técnicas avanzadas de evasión para burlar las revisiones de seguridad de las tiendas de extensiones:
- Inyección de Capacidades Retrasada (Sleeper Mode): Esta es la táctica más peligrosa de la campaña. Durante los primeros 6 a 12 meses, las extensiones funcionan perfectamente y cumplen lo prometido (descargar videos). Este comportamiento benigno inicial les permite superar las validaciones de seguridad de Google y Microsoft, acumular reseñas positivas e incluso ganar la codiciada insignia de “Destacado” (Featured), reduciendo por completo la sospecha del usuario.
- Activación y Configuración Remota: Una vez que ha pasado suficiente tiempo y se ha construido una base sólida de usuarios, las extensiones se conectan en secreto a servidores de Comando y Control (C2) externos. Desde allí, descargan configuraciones remotas dinámicas que alteran fundamentalmente el comportamiento de la extensión, transformándola de una herramienta útil a un spyware agresivo.
- Huella Digital (Fingerprinting) y Telemetría: Tras la activación, las extensiones comienzan a recopilar silenciosamente datos del usuario. Monitorean los patrones de uso, el contenido descargado y extraen datos de alta entropía (zona horaria, configuración de idioma, estado de la batería del dispositivo). La combinación de estos datos permite a los atacantes crear una “huella digital” altamente precisa para rastrear a las víctimas a través de diferentes sesiones y servicios web.
- Exfiltración Furtiva: Para ocultar el robo de datos, la información recolectada se envía a dominios engañosos con errores tipográficos intencionales (como trafficreqort[.]com), diseñados para evadir la detección casual en los registros DNS corporativos.
- Resiliencia Operativa: Los atacantes utilizan un modelo de clonación. Si Google o Microsoft detectan y eliminan una de las extensiones (como ocurrió con “TikTok Video Keeper”, que tenía 60,000 instalaciones), los cibercriminales suben inmediatamente un clon ligeramente modificado bajo un nombre similar.
Impacto
Este incidente expone una vulnerabilidad crítica en el modelo de seguridad de los navegadores modernos:
- Fallo en la Validación Inicial: Confiar únicamente en los escaneos de seguridad en el momento de la instalación o publicación es insuficiente frente a cargas útiles dinámicas que se inyectan meses después.
- Seguimiento Persistente: El nivel de fingerprinting logrado permite a los actores de amenazas rastrear la actividad de los usuarios, lo que puede derivar en la interceptación de sesiones web, robo de credenciales y ataques de ingeniería social altamente dirigidos.
Recomendaciones y Mitigación
- Eliminación Manual de Extensiones: Los usuarios y administradores de TI deben buscar y desinstalar inmediatamente extensiones sospechosas. Entre las amenazas activas identificadas se encuentran:
- Google Chrome: “TikTok Downloader – Save Videos, No Watermark”, “TikTok Video Downloader – Bulk Save”, “Tiktok Downloader”.
- Microsoft Edge: “Mass Tiktok Video Downloader”.
- Rotación de Credenciales: Como medida precautoria ante el posible robo de cookies de sesión o contraseñas, los usuarios afectados deben cambiar las contraseñas de sus cuentas más sensibles.
- Monitoreo Basado en Comportamiento: Para los entornos corporativos (SOC), la recomendación es implementar soluciones de seguridad de navegadores o EDR que realicen un monitoreo continuo del comportamiento. Se debe alertar sobre extensiones que intenten establecer conexiones de red inusuales o recopilar datos que no coincidan con los permisos declarados inicialmente.
