Pesquisadores de cibersegurança identificaram cinco novas extensões maliciosas para o navegador Google Chrome que se disfarçam como plataformas de recursos humanos (HR) e planejamento de recursos empresariais (ERP), como Workday, NetSuite e SuccessFactors, para tomar o controle das contas das vítimas.
De acordo com o pesquisador Kush Pandya, da Socket Security, em relatório divulgado na quinta-feira, essas extensões atuam de forma coordenada para roubar tokens de autenticação, bloquear respostas a incidentes e realizar o takeover completo das contas, por meio do sequestro de sessões (session hijacking).
As extensões identificadas são:
- DataByCloud Access (ID: oldhjammhkghhahhhdcifmmlefibciph, publisher: databycloud1104) – 251 instalações
- Tool Access 11 (ID: ijapakghdgckgblfgjobhcfglebbkebf, publisher: databycloud1104) – 101 instalações
- DataByCloud 1 (ID: mbjjeombjeklkbndcjgmfcdhfbjngcam, publisher: databycloud1104) – 1.000 instalações
- DataByCloud 2 (ID: makdmacamkifdldldlelollkkjnoiedg, publisher: databycloud1104) – 1.000 instalações
- Software Access (ID: bmodapcihjhklpogdpblefpepjolaoij, publisher: Software Access) – 27 instalações
Com exceção da Software Access, todas já foram removidas da Chrome Web Store, mas continuam disponíveis em sites de download de terceiros, como o Softonic.
As extensões eram divulgadas como ferramentas de produtividade que ofereciam acesso a recursos premium para plataformas como Workday e NetSuite.
As extensões DataByCloud 1 e DataByCloud 2 foram publicadas originalmente em 18 de agosto de 2021.
Embora tenham publishers diferentes, a análise indica que todas fazem parte de uma operação coordenada.
O ataque consiste na exfiltração de cookies para servidores remotos controlados pelos criminosos, na alteração da árvore DOM para bloquear páginas administrativas de segurança e no sequestro das sessões por meio da injeção de cookies.
Após a instalação, a extensão DataByCloud Access solicita permissões para manipular cookies, gerenciar scripts e armazenamento, além de controlar requisições em domínios relacionados a Workday, NetSuite e SuccessFactors.
Ela coleta cookies de autenticação e os envia a cada 60 segundos para o domínio "api.databycloud[.]com".
Já a Tool Access 11 impede o acesso a 44 páginas administrativas do Workday, apagando o conteúdo das páginas e redirecionando para URLs malformadas.
Isso bloqueia o gerenciamento de autenticação, configuração de proxies de segurança, controle de faixas de IP e sessões.
O bloqueio é implementado por meio da manipulação constante do DOM, monitorando títulos das páginas.
A extensão DataByCloud 2 amplia essa funcionalidade, bloqueando 56 páginas, incluindo ações essenciais como alteração de senha, desativação de contas, gerenciamento de dispositivos de autenticação de dois fatores (2FA) e acesso a logs de auditoria de segurança.
Ela atua tanto em ambientes de produção quanto em sandbox do Workday, no domínio "workdaysuv[.]com".
Enquanto isso, a DataByCloud 1 replica o roubo de cookies da DataByCloud Access e impede a inspeção de código pelas ferramentas de desenvolvimento dos navegadores, utilizando a biblioteca open-source DisableDevtool.
Ambas criptografam seu tráfego de comando e controle (C2).
A mais sofisticada do grupo é a Software Access, que, além de roubar cookies, pode receber cookies roubados do domínio "api.software-access[.]com" e injetá-los no navegador para facilitar o sequestro direto das sessões.
Também protege campos de senha para evitar que usuários verifiquem as credenciais inseridas.
Segundo a Socket, a função de injeção "analisa cookies recebidos, remove os cookies existentes no domínio alvo e instala os novos cookies via chrome.cookies.set(), configurando diretamente o estado de autenticação da vítima na sessão do invasor".
Um ponto em comum entre todas as cinco extensões é a presença de uma lista idêntica com 23 extensões do Chrome voltadas para segurança, como EditThisCookie, Cookie-Editor, ModHeader, Redux DevTools e SessionBox.
Essa lista serve para detectar e sinalizar ao atacante a presença de ferramentas que possam interferir no roubo de cookies ou revelar o comportamento malicioso das extensões.
Esse detalhe sugere que o mesmo grupo de cibercriminosos pode ter publicado as extensões sob publishers diferentes, ou que todas foram criadas a partir de um kit malicioso comum.
Usuários do Chrome que tenham instalado alguma dessas extensões são fortemente recomendados a removê-las imediatamente, redefinir suas senhas e monitorar sinais de acessos não autorizados por IPs ou dispositivos desconhecidos.
Pandya alerta que "a combinação do roubo contínuo de credenciais, bloqueio das interfaces administrativas e sequestro de sessões cria uma situação na qual as equipes de segurança conseguem detectar acessos indevidos, mas têm dificuldade para remediar pelo canal normal".
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...