Investigadores de ciberseguridad han descubierto cinco nuevas extensiones maliciosas del navegador web Google Chrome que se hacen pasar por plataformas de recursos humanos (RRHH) y planificación de recursos empresariales (ERP), como Workday, NetSuite y SuccessFactors, para tomar el control de las cuentas de las víctimas.
“Las extensiones funcionan juntas para robar tokens de autenticación, bloquear la funcionalidad de respuesta a incidentes y permitir la apropiación total de la cuenta mediante el secuestro de sesión”, dijo el investigador de seguridad de Socket, Kush Pandya, en un informe el jueves.
Los nombres de las extensiones se enumeran a continuación:
- Acceso a DataByCloud (ID: oldhjammhkghhahhhdcifmmlefibciph, publicado por: databycloud1104) – 251 instalaciones
- Tool Access 11 (ID: ijapakghdgckgblfgjobhcfglebbkebf, Publicado por: databycloud1104) – 101 instalaciones
- DataByCloud 1 (ID: mbjjeombjeklkbndcjgmfcdhfbjngcam, publicado por: databycloud1104) – 1000 instalaciones
- DataByCloud 2 (ID: makdmacamkifdldldlelollkkjnoiedg, publicado por: databycloud1104): 1000 instalaciones
- Software Access (ID: bmodapcihjhklpogdpblefpepjolaoij, Publicado por: Software Access) – 27 instalaciones
Con la excepción de Software Access, todos se han eliminado de Chrome Web Store al momento de escribir este artículo. Sin embargo, todavía están disponibles en sitios de descarga de software de terceros como Softonic. Los complementos se promocionan como herramientas de productividad que brindan acceso a herramientas premium para varias plataformas, incluidas Workday, NetSuite y otras plataformas. Dos de las extensiones, DataByCloud 1 y DataByCloud 2, se lanzaron por primera vez el 18 de agosto de 2021.
Aunque la campaña utiliza dos editores diferentes, se evalúa como una operación coordinada basada en patrones de infraestructura y funcionalidad idénticos. Específicamente, esto implica inyectar cookies en un servidor remoto bajo el control de un atacante, manipular el árbol del Modelo de objetos de documento (DOM) para bloquear páginas de administración de seguridad y facilitar el secuestro de sesiones mediante la inyección de cookies.
Una vez instalado, DataByCloud Access solicita permisos de cookies, administración, secuencias de comandos, almacenamiento y NetRequest declarativos para los dominios Workday, NetSuite y SuccessFactors. Además, las cookies de autenticación para un dominio específico se recopilan y transfieren al dominio api.databycloud(.)com cada 60 segundos.
“Tool Access 11 (v1.4) impide el acceso a 44 páginas administrativas dentro de Workday al eliminar el contenido de la página y redirigir a URL incorrectas”, explicó Pandya. “Esta extensión bloquea la gestión de autenticación, la configuración del proxy de seguridad, la gestión del rango de IP y las interfaces de control de sesión”.
Esto se logra mediante la manipulación DOM, donde la extensión mantiene una lista de títulos de páginas que se monitorea constantemente. Data By Cloud 2 amplía la función de bloqueo a 56 sitios y agrega funciones clave como cambios de contraseña, desactivación de cuentas, administración de dispositivos 2FA y acceso a registros de auditoría de seguridad. Está diseñado tanto para entornos de producción como para el entorno de prueba sandbox de Workday en workdaysuv(.)com.
Por el contrario, Data By Cloud 1 replica la funcionalidad de robo de cookies de DataByCloud Access al tiempo que integra capacidades de prevención de inspección de código mediante herramientas de desarrollo de navegadores web que utilizan la biblioteca de código abierto DisableDevtool. Ambas extensiones cifran su tráfico de comando y control (C2).
La extensión más sofisticada de este grupo es Software Access, que combina el robo de cookies con la capacidad de recibir cookies robadas de api.software-access(.)com e inyectarlas en el navegador para permitir el secuestro directo de sesión. Además, está equipado con protección del campo de entrada de contraseña para evitar que los usuarios verifiquen las entradas de credenciales.
“La función analiza las cookies de la carga útil del servidor, elimina las cookies existentes para el dominio de destino, luego recorre en iteración la matriz de cookies proporcionada e inserta cada una usando chrome.cookies.set()”, dijo Socket. “Esto instala el estado de autenticación de la víctima directamente en la sesión del navegador del actor de la amenaza”.
Un aspecto notable que conecta las cinco extensiones es que contienen una lista idéntica de 23 extensiones de Chrome relacionadas con la seguridad, como EditThisCookie, Cookie Editor, ModHeader, Redux DevTools y SessionBox, diseñadas para monitorear e informar su presencia al actor de amenazas.
Es probable que esto sea un intento de evaluar si el navegador web tiene una herramienta que podría interferir con sus objetivos de recolección de cookies o exponer el comportamiento de la extensión, dijo Socket. Además, la presencia de una lista de ID de extensión similar para las cinco extensiones plantea dos posibilidades: o es el trabajo del mismo actor de amenazas que las publicó bajo diferentes editores, o un conjunto de herramientas común.
Se recomienda a los usuarios de Chrome que hayan instalado cualquiera de los complementos anteriores que los eliminen de sus navegadores, restablezcan la contraseña y comprueben si hay signos de acceso no autorizado desde dispositivos o direcciones IP desconocidos.
“La combinación de robo continuo de credenciales, bloqueo de la interfaz de administración y secuestro de sesiones crea un escenario en el que los equipos de seguridad pueden detectar el acceso no autorizado pero no pueden remediarlo a través de los canales normales”, dijo Socket.
About The Author
