Pesquisadores de cibersegurança identificaram cinco novas extensões maliciosas para o navegador Google Chrome que se disfarçam como plataformas de recursos humanos (HR) e planejamento de recursos empresariais (ERP), como Workday, NetSuite e SuccessFactors, para tomar o controle das contas das vítimas.
De acordo com o pesquisador Kush Pandya, da Socket Security, em relatório divulgado na quinta-feira, essas extensões atuam de forma coordenada para roubar tokens de autenticação, bloquear respostas a incidentes e realizar o takeover completo das contas, por meio do sequestro de sessões (session hijacking).
As extensões identificadas são:
- DataByCloud Access (ID: oldhjammhkghhahhhdcifmmlefibciph, publisher: databycloud1104) – 251 instalações
- Tool Access 11 (ID: ijapakghdgckgblfgjobhcfglebbkebf, publisher: databycloud1104) – 101 instalações
- DataByCloud 1 (ID: mbjjeombjeklkbndcjgmfcdhfbjngcam, publisher: databycloud1104) – 1.000 instalações
- DataByCloud 2 (ID: makdmacamkifdldldlelollkkjnoiedg, publisher: databycloud1104) – 1.000 instalações
- Software Access (ID: bmodapcihjhklpogdpblefpepjolaoij, publisher: Software Access) – 27 instalações
Com exceção da Software Access, todas já foram removidas da Chrome Web Store, mas continuam disponíveis em sites de download de terceiros, como o Softonic.
As extensões eram divulgadas como ferramentas de produtividade que ofereciam acesso a recursos premium para plataformas como Workday e NetSuite.
As extensões DataByCloud 1 e DataByCloud 2 foram publicadas originalmente em 18 de agosto de 2021.
Embora tenham publishers diferentes, a análise indica que todas fazem parte de uma operação coordenada.
O ataque consiste na exfiltração de cookies para servidores remotos controlados pelos criminosos, na alteração da árvore DOM para bloquear páginas administrativas de segurança e no sequestro das sessões por meio da injeção de cookies.
Após a instalação, a extensão DataByCloud Access solicita permissões para manipular cookies, gerenciar scripts e armazenamento, além de controlar requisições em domínios relacionados a Workday, NetSuite e SuccessFactors.
Ela coleta cookies de autenticação e os envia a cada 60 segundos para o domínio "api.databycloud[.]com".
Já a Tool Access 11 impede o acesso a 44 páginas administrativas do Workday, apagando o conteúdo das páginas e redirecionando para URLs malformadas.
Isso bloqueia o gerenciamento de autenticação, configuração de proxies de segurança, controle de faixas de IP e sessões.
O bloqueio é implementado por meio da manipulação constante do DOM, monitorando títulos das páginas.
A extensão DataByCloud 2 amplia essa funcionalidade, bloqueando 56 páginas, incluindo ações essenciais como alteração de senha, desativação de contas, gerenciamento de dispositivos de autenticação de dois fatores (2FA) e acesso a logs de auditoria de segurança.
Ela atua tanto em ambientes de produção quanto em sandbox do Workday, no domínio "workdaysuv[.]com".
Enquanto isso, a DataByCloud 1 replica o roubo de cookies da DataByCloud Access e impede a inspeção de código pelas ferramentas de desenvolvimento dos navegadores, utilizando a biblioteca open-source DisableDevtool.
Ambas criptografam seu tráfego de comando e controle (C2).
A mais sofisticada do grupo é a Software Access, que, além de roubar cookies, pode receber cookies roubados do domínio "api.software-access[.]com" e injetá-los no navegador para facilitar o sequestro direto das sessões.
Também protege campos de senha para evitar que usuários verifiquem as credenciais inseridas.
Segundo a Socket, a função de injeção "analisa cookies recebidos, remove os cookies existentes no domínio alvo e instala os novos cookies via chrome.cookies.set(), configurando diretamente o estado de autenticação da vítima na sessão do invasor".
Um ponto em comum entre todas as cinco extensões é a presença de uma lista idêntica com 23 extensões do Chrome voltadas para segurança, como EditThisCookie, Cookie-Editor, ModHeader, Redux DevTools e SessionBox.
Essa lista serve para detectar e sinalizar ao atacante a presença de ferramentas que possam interferir no roubo de cookies ou revelar o comportamento malicioso das extensões.
Esse detalhe sugere que o mesmo grupo de cibercriminosos pode ter publicado as extensões sob publishers diferentes, ou que todas foram criadas a partir de um kit malicioso comum.
Usuários do Chrome que tenham instalado alguma dessas extensões são fortemente recomendados a removê-las imediatamente, redefinir suas senhas e monitorar sinais de acessos não autorizados por IPs ou dispositivos desconhecidos.
Pandya alerta que "a combinação do roubo contínuo de credenciais, bloqueio das interfaces administrativas e sequestro de sessões cria uma situação na qual as equipes de segurança conseguem detectar acessos indevidos, mas têm dificuldade para remediar pelo canal normal".
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...