Investigadores de ciberseguridad han descubierto cinco nuevas extensiones maliciosas del navegador web Google Chrome que se hacen pasar por plataformas de recursos humanos (RRHH) y planificación de recursos empresariales (ERP) como Workday, NetSuite y SuccessFactors para tomar el control de las cuentas de las víctimas.
«Las extensiones funcionan en conjunto para robar tokens de autenticación, bloquear las capacidades de respuesta a incidentes y permitir la apropiación completa de la cuenta mediante el secuestro de sesión», dijo el investigador de seguridad de Socket, Kush Pandya. dicho en un informe del jueves.
Los nombres de las extensiones se enumeran a continuación:
- Acceso a DataByCloud (ID: oldhjammhkghhahhhdcifmmlefibciph, publicado por: databycloud1104) – 251 instalaciones
- Acceso a herramientas 11 (ID: ijapakghdgckgblfgjobhcfglebbkebf, publicado por: databycloud1104) – 101 instalaciones
- DataByCloud 1 (ID: mbjjeombjeklkbndcjgmfcdhfbjngcam, publicado por: databycloud1104) – 1000 instalaciones
- DataByCloud 2 (ID: makdmacamkifdldldlelollkkjnoiedg, publicado por: databycloud1104) – 1000 instalaciones
- Software Access (ID: bmodapcihjhklpogdpblefpepjolaoij, Publicado por: Software Access) – 27 instalaciones
Todos ellos, con la excepción de Software Access, se han eliminado de Chrome Web Store al momento de escribir este artículo. Dicho esto, todavía están disponibles en sitios de descarga de software de terceros como Softonic. Los complementos se anuncian como herramientas de productividad que ofrecen acceso a herramientas premium para diferentes plataformas, incluidas Workday, NetSuite y otras plataformas. Dos de las extensiones, DataByCloud 1 y DataByCloud 2, se publicaron por primera vez el 18 de agosto de 2021.
La campaña, a pesar de utilizar dos editores diferentes, se considera una operación coordinada basada en funcionalidades y patrones de infraestructura idénticos. Específicamente implica filtrar cookies a un servidor remoto bajo el control de los atacantes, manipular el árbol del Modelo de objetos de documento (DOM) para bloquear páginas de administración de seguridad y facilitar el secuestro de sesiones mediante la inyección de cookies.
Una vez instalado, DataByCloud Access solicita permisos para cookies, administración, secuencias de comandos, almacenamiento y NetRequest declarativa en los dominios Workday, NetSuite y SuccessFactors. También recopila cookies de autenticación para un dominio específico y las transmite al archivo «api.databycloud».[.]com» cada 60 segundos.
«Tool Access 11 (v1.4) impide el acceso a 44 páginas administrativas dentro de Workday borrando el contenido de la página y redireccionando a URL con formato incorrecto», explicó Pandya. «Esta extensión bloquea la gestión de autenticación, la configuración del proxy de seguridad, la gestión del rango de IP y las interfaces de control de sesión».
Esto se logra mediante la manipulación DOM, con la extensión manteniendo una lista de títulos de páginas que se monitorea constantemente. Data By Cloud 2 amplía la función de bloqueo a 56 páginas, agregando funciones cruciales como cambios de contraseña, desactivación de cuentas, administración de dispositivos 2FA y acceso al registro de auditoría de seguridad. Está diseñado para funcionar tanto en entornos de producción como en el entorno de prueba sandbox de Workday en «workdaysuv[.]com.»
Por el contrario, Data By Cloud 1 replica la funcionalidad de robo de cookies de DataByCloud Access, al tiempo que incorpora funciones para evitar la inspección de código mediante herramientas de desarrollo de navegadores web que utilizan el código abierto. Deshabilitar la biblioteca Devtool. Ambas extensiones cifran su tráfico de comando y control (C2).
La extensión más sofisticada del lote es Software Access, que combina el robo de cookies con la capacidad de recibir cookies robadas de «api.software-access».[.]com» e inyectarlos en el navegador para facilitar el secuestro directo de la sesión. Además, viene equipado con protección de campo de entrada de contraseña para evitar que los usuarios inspeccionen las entradas de credenciales.
«La función analiza las cookies de la carga útil del servidor, elimina las cookies existentes para el dominio de destino, luego recorre en iteración la matriz de cookies proporcionada e inyecta cada una usando chrome.cookies.set()», dijo Socket. «Esto instala el estado de autenticación de la víctima directamente en la sesión del navegador del actor de la amenaza».
Un aspecto notable que une las cinco extensiones es que cuentan con una lista idéntica que comprende 23 extensiones de Chrome relacionadas con la seguridad, como EditThisCookie, Cookie-Editor, ModHeader, Redux DevTools y SessionBox, que están diseñadas para monitorear y señalar su presencia al actor de amenazas.
Es probable que esto sea un intento de evaluar si el navegador web tiene alguna herramienta que pueda interferir con sus objetivos de recolección de cookies o revelar el comportamiento de la extensión, dijo Socket. Es más, la presencia de una lista de ID de extensión similar en las cinco extensiones plantea dos posibilidades: o es el trabajo del mismo actor de amenazas que las ha publicado en diferentes editores o un conjunto de herramientas común.
Se recomienda a los usuarios de Chrome que hayan instalado cualquiera de los complementos antes mencionados que los eliminen de sus navegadores, restablezcan la contraseña y revisen si hay signos de acceso no autorizado desde direcciones IP o dispositivos desconocidos.
«La combinación de robo continuo de credenciales, bloqueo de interfaces administrativas y secuestro de sesiones crea un escenario en el que los equipos de seguridad pueden detectar accesos no autorizados pero no pueden remediarlos a través de canales normales», afirmó Socket.
Actualizar
La extensión Software Access ya no está disponible para descargar desde Chrome Web Store.
Fuente