Investigadores de ciberseguridad han descubierto cinco nuevas extensiones maliciosas del navegador web Google Chrome que se hacen pasar por plataformas de recursos humanos (RRHH) y planificación de recursos empresariales (ERP), como Workday, NetSuite y SuccessFactors, para tomar el control de las cuentas de las víctimas.
«Las extensiones funcionan juntas para robar tokens de autenticación, bloquear la funcionalidad de respuesta a incidentes y permitir el control completo de la cuenta mediante el secuestro de sesión», dijo el investigador de seguridad de socket Kush Pandya en un informe el jueves.
Los nombres de las extensiones se enumeran a continuación:
DataByCloud Access (ID: oldhjammhkghhahahadcifmmlefibciph, Editor: databycloud1104) – 251 Herramientas Instalar Access 11 (ID: ijapakghdgckgblfgjobhcfglebbkebf, Editor: databycloud1104) – 101 Instalar DataByCloud 1 (ID: mbjjeombjeklkbndcjgmfcdhfbjngcam, editor: databycloud1104) – 1000 instalaciones DataByCloud 2 (ID: makdmacamkifdldldlelollkkjnoiedg, editor: databycloud1104) – 1000 instalaciones Acceso al software (ID: bmodapcihjhklpogdpblefpepjolaoij, Autor: Software Access) – 27 Instalación
Todos los servicios, excepto Software Access, se han eliminado de Chrome Web Store al momento de escribir este artículo. Sin embargo, todavía está disponible en sitios de descarga de software de terceros como Softonic. El complemento se promociona como una herramienta de productividad que brinda acceso a herramientas premium desde una variedad de plataformas, incluidas Workday, NetSuite y otras plataformas. Dos de las extensiones, DataByCloud 1 y DataByCloud 2, se publicaron por primera vez el 18 de agosto de 2021.
A pesar de utilizar dos editores diferentes, esta campaña se describe como una operación coordinada basada en el mismo patrón de funcionalidad e infraestructura. Estos incluyen filtrar cookies a un servidor remoto bajo el control del atacante, manipular el árbol del Modelo de objetos de documento (DOM) para bloquear páginas de administración de seguridad y facilitar el secuestro de sesiones mediante la inyección de cookies.
Una vez instalado, DataByCloud Access solicita permisos de cookies, administrativos, de secuencias de comandos, de almacenamiento y declarativos de NetRequest en los dominios Workday, NetSuite y SuccessFactors. También recopila cookies de autenticación para el dominio especificado y las envía al dominio «api.databycloud(.)com» cada 60 segundos.
«Tool Access 11 (v1.4) impide el acceso a 44 páginas de administración dentro de Workday borrando el contenido de la página y redireccionando a URL con formato incorrecto», explicó Pandya. «Esta extensión bloquea la gestión de autenticación, la configuración del proxy de seguridad, la gestión del rango de IP y las interfaces de control de sesión».
Esto se logra mediante la manipulación DOM que mantiene una lista de títulos de páginas que la extensión monitorea constantemente. Data By Cloud 2 amplía la funcionalidad de bloqueo a 56 páginas y agrega características importantes como cambio de contraseña, desactivación de cuenta, administración de dispositivos 2FA y acceso al registro de auditoría de seguridad. Está diseñado para funcionar tanto en entornos de producción como en el entorno de prueba sandbox de Workday ubicado en ‘workdaysuv(.)com’.
Por el contrario, Data By Cloud 1 replica la funcionalidad de robo de cookies de DataByCloud Access y al mismo tiempo incorpora una funcionalidad que evita la inspección de código mediante herramientas de desarrollo de navegadores web que utilizan la biblioteca de código abierto DisableDevtool. Ambas extensiones cifran el tráfico de comando y control (C2).
La extensión más avanzada es Software Access. Combina el robo de cookies con la capacidad de recibir cookies robadas de ‘api.software-access(.)com’ e inyectarlas en el navegador para facilitar el secuestro directo de la sesión. Además, se proporciona protección del campo de entrada de contraseña para evitar que los usuarios inspeccionen la entrada de credenciales.
«Esta función analiza las cookies de la carga útil del servidor y elimina las cookies existentes para el dominio de destino. Luego recorre en iteración la matriz de cookies proporcionada e inserta cada cookie usando chrome.cookies.set()», dijo Socket. «Esto instala el estado de autenticación de la víctima directamente en la sesión del navegador del actor de la amenaza».
Lo notable que une a las cinco extensiones es que cuentan con una lista idéntica de 23 extensiones de Chrome relacionadas con la seguridad diseñadas para monitorear y notificar a los actores de amenazas sobre su presencia, incluidas EditThisCookie, Cookie-Editor, ModHeader, Redux DevTools y SessionBox.
Probablemente se trate de un intento de evaluar si los navegadores web tienen herramientas que podrían frustrar el propósito de la recopilación de cookies o revelar el comportamiento de las extensiones, dijo Socket. Además, las cinco extensiones tienen una lista similar de ID de extensión, lo que da lugar a dos posibilidades: o son obra del mismo atacante publicadas bajo diferentes editores, o son obra de un conjunto de herramientas común.
Se recomienda a los usuarios de Chrome que hayan instalado cualquiera de los complementos antes mencionados que los eliminen de sus navegadores, restablezcan sus contraseñas y comprueben si hay señales de acceso no autorizado desde direcciones IP o dispositivos desconocidos.
«La combinación de robo persistente de credenciales, bloqueo de interfaces administrativas y secuestro de sesiones crea un escenario en el que los equipos de seguridad pueden detectar accesos no autorizados pero no pueden remediarlo a través de canales normales», dijo Socket.
Source link
