Investigadores de ciberseguridad han descubierto cinco nuevas extensiones maliciosas del navegador web Google Chrome que se hacen sobrevenir por plataformas de posibles humanos (RRHH) y planificación de posibles empresariales (ERP) como Workday, NetSuite y SuccessFactors para tomar el control de las cuentas de las víctimas.
“Las extensiones funcionan en conjunto para robar tokens de autenticación, sitiar capacidades de respuesta a incidentes y permitir la toma completa de cuentas mediante el secuestro de sesiones”, dijo el investigador de seguridad de Socket, Kush Pandya, en un mensaje del jueves.
Los nombres de las extensiones se enumeran a continuación:
- Llegada a DataByCloud (ID: oldhjammhkghhahhhdcifmmlefibciph, publicado por: databycloud1104) – 251 instalaciones
- Llegada a herramientas 11 (ID: ijapakghdgckgblfgjobhcfglebbkebf, publicado por: databycloud1104) – 101 instalaciones
- DataByCloud 1 (ID: mbjjeombjeklkbndcjgmfcdhfbjngcam, publicado por: databycloud1104) – 1000 instalaciones
- DataByCloud 2 (ID: makdmacamkifdldldlelollkkjnoiedg, publicado por: databycloud1104) – 1000 instalaciones
- Software Access (ID: bmodapcihjhklpogdpblefpepjolaoij, Publicado por: Software Access) – 27 instalaciones
Todos ellos, con la excepción de Software Access, se han eliminado de Chrome Web Store al momento de escribir este artículo. Dicho esto, todavía están disponibles en sitios de descarga de software de terceros como Softonic. Los complementos se anuncian como herramientas de productividad que ofrecen llegada a herramientas premium para diferentes plataformas, incluidas Workday, NetSuite y otras plataformas. Dos de las extensiones, DataByCloud 1 y DataByCloud 2, se publicaron por primera vez el 18 de agosto de 2021.
La campaña, a pesar de utilizar dos editores diferentes, se considera una operación coordinada basada en funcionalidades y patrones de infraestructura idénticos. Específicamente implica filtrar cookies a un servidor remoto bajo el control de los atacantes, manipular el árbol del Maniquí de objetos de documento (DOM) para sitiar páginas de establecimiento de seguridad y favorecer el secuestro de sesiones mediante la inyección de cookies.
Una vez instalado, DataByCloud Access solicita permisos para cookies, establecimiento, secuencias de comandos, almacenamiento y NetRequest declarativa en los dominios Workday, NetSuite y SuccessFactors. Incluso recopila cookies de autenticación para un dominio específico y las transmite al dominio “api.databycloud(.)com” cada 60 segundos.
“Tool Access 11 (v1.4) impide el llegada a 44 páginas administrativas en el interior de Workday borrando el contenido de la página y redireccionando a URL con formato incorrecto”, explicó Pandya. “Esta extensión bloquea la trámite de autenticación, la configuración del proxy de seguridad, la trámite del rango de IP y las interfaces de control de sesión”.
Esto se logra mediante la manipulación DOM, con la extensión manteniendo una inventario de títulos de páginas que se monitorea constantemente. Data By Cloud 2 amplía la función de sitio a 56 páginas, agregando funciones cruciales como cambios de contraseña, desactivación de cuentas, establecimiento de dispositivos 2FA y llegada al registro de auditoría de seguridad. Está diseñado para funcionar tanto en entornos de producción como en el entorno de pruebas de espacio separado de Workday en “workdaysuv(.)com”.
Por el contrario, Data By Cloud 1 replica la funcionalidad de robo de cookies de DataByCloud Access, al tiempo que incorpora funciones para evitar la inspección de código mediante herramientas de exposición de navegadores web que utilizan la biblioteca de código amplio DisableDevtool. Ambas extensiones cifran su tráfico de comando y control (C2).
La extensión más sofisticada del conjunto es Software Access, que combina el robo de cookies con la capacidad de admitir cookies robadas de “api.software-access(.)com” e inyectarlas en el navegador para favorecer el secuestro directo de la sesión. Por otra parte, viene equipado con protección de campo de entrada de contraseña para evitar que los usuarios inspeccionen las entradas de credenciales.
“La función analiza las cookies de la carga útil del servidor, elimina las cookies existentes para el dominio de destino, luego recorre en iteración la matriz de cookies proporcionada e inyecta cada una usando chrome.cookies.set()”, dijo Socket. “Esto instala el estado de autenticación de la víctima directamente en la sesión del navegador del actor de la amenaza”.
Un aspecto trascendente que une las cinco extensiones es que cuentan con una inventario idéntica que comprende 23 extensiones de Chrome relacionadas con la seguridad, como EditThisCookie, Cookie-Editor, ModHeader, Redux DevTools y SessionBox, que están diseñadas para monitorear y señalar su presencia al actor de amenazas.
Es probable que esto sea un intento de evaluar si el navegador web tiene alguna útil que pueda interferir con sus objetivos de casa recoleta de cookies o revelar el comportamiento de la extensión, dijo Socket. Es más, la presencia de una inventario de ID de extensión similar en las cinco extensiones plantea dos posibilidades: o es el trabajo del mismo actor de amenazas que las ha publicado en diferentes editores o un conjunto de herramientas global.
Se recomienda a los usuarios de Chrome que hayan instalado cualquiera de los complementos antaño mencionados que los eliminen de sus navegadores, restablezcan la contraseña y revisen si hay signos de llegada no calificado desde direcciones IP o dispositivos desconocidos.
“La combinación de robo continuo de credenciales, sitio de interfaces administrativas y secuestro de sesiones crea un proscenio en el que los equipos de seguridad pueden detectar accesos no autorizados pero no pueden remediarlos a través de canales normales”, afirmó Socket.
