Пять вредоносных расширений Chrome похищают сессии в корпоративных системах Workday и NetSuite

Кампания использует три различных типа атак. Во-первых, это эксфильтрация файлов cookie на удаленные серверы. Во-вторых, манипуляция DOM (объектной моделью документа) для блокировки страниц администрирования безопасности. В-третьих, двунаправленная инъекция файлов cookie для прямого перехвата сеанса. Все пять расширений нацелены на одни и те же корпоративные платформы и имеют идентичные списки обнаружения средств безопасности, шаблоны API-эндпоинтов и структуры кода, что указывает на скоординированную операцию, несмотря на разные имена издателей. Четыре расширения опубликованы под именем "databycloud1104", а пятое работает под другим брендом "softwareaccess". На момент публикации новости все пять расширений остаются под следствием. В Google Chrome Web Store уже направлены запросы на их удаление.

Расширения маскируются под легитимные инструменты повышения производительности. Они рекламируют себя как решения, упрощающие доступ к корпоративным платформам для пользователей, работающих с несколькими учетными записями. Например, DataByCloud 2 позиционируется как менеджер массовых инструментов с отполированной панелью управления. В свою очередь, Tool Access 11 заявляет, что помогает «ограничить доступ к специальным инструментам», представляясь средством безопасности. Однако анализ кода выявляет их истинную вредоносную природу, прямо противоречащую заявлениям в политиках конфиденциальности о неиспользовании данных пользователей.

Механизм кражи сессий сфокусирован на файлах cookie с именем "__session", которые содержат токены аутентификации для Workday, NetSuite и SuccessFactors. Код для их извлечения идентичен в нескольких расширениях. Похищенные токены передаются на серверы злоумышленников каждые 60 секунд. Для обфускации трафика используется вариант шифра Виженера, что затрудняет анализ. Помимо кражи, расширения активно блокируют доступ к критически важным страницам администрирования. Tool Access 11 предотвращает доступ к 44 административным страницам в Workday, включая управление политиками аутентификации и сессиями. Data By Cloud 2 расширяет этот список до 56 страниц, добавляя такие функции реагирования на инциденты, как смена пароля, отключение учетных записей и управление устройствами двухфакторной аутентификации.

Наиболее изощренную атаку реализует расширение Software Access. Оно не только крадет токены, но и получает украденные учетные данные со своего командного сервера, чтобы внедрить их в браузер злоумышленника. Этот механизм двунаправленной инъекции cookie позволяет напрямую захватывать сеансы жертв без необходимости ввода пароля, обходя многофакторную аутентификацию. Все расширения также содержат идентичные списки из 23 других расширений Chrome, связанных с безопасностью (например, EditThisCookie, Cookie-Editor), которые они отслеживают. Это позволяет злоумышленникам оценить, установлены ли в браузере инструменты, которые могут помешать их операции.

Инфраструктура кампании носит явно временный характер. Основные домены, такие как "databycloud[.]com" и "software-access[.]com", либо возвращают ошибку 404, либо не имеют функционирующего веб-сайта. При этом поддомены API остаются активными для приема похищенных данных. Это типичная тактика для вредоносных операций, минимизирующая вложения в правдоподобную легитимную инфраструктуру. Дополнительные меры против анализа включают в себя библиотеку DisableDevtool для блокировки инструментов разработчика и специальные скрипты, которые не позволяют пользователям изменять тип полей ввода пароля на странице, скрывая данные.

Согласованный характер кампании подтверждается множеством факторов. Помимо идентичных списков отслеживания и шаблонов API, код для извлечения сессий абсолютно одинаков во всех расширениях. Они нацелены на один и тот же набор платформ и доменов, включая европейские и тестовые среды. Их функциональность является взаимодополняющей, образуя единую цепочку атаки: одни расширения отвечают за кражу учетных данных, другие - за блокировку ответных мер, третьи - за непосредственный захват аккаунтов. Прогрессия версий указывает на постоянное развитие угрозы.

Воздействие такой скоординированной атаки крайне серьезно. Она обеспечивает постоянный компрометацию корпоративных учетных записей, которая может пережить стандартные процедуры реагирования на инциденты. Поскольку расширения блокируют доступ к интерфейсам смены пароля и управления безопасностью, ИТ-команды могут обнаружить несанкционированный доступ, но не смогут оперативно его устранить привычными методами. Это создает сложный сценарий, требующий миграции пользователей на новые учетные записи.

Эксперты рекомендуют пользователям немедленно проверить и удалить любые подозрительные расширения, особенно запрашивающие разрешения на работу с cookie для указанных платформ. Сброс паролей необходимо выполнять только с чистых, незараженных систем. Корпоративным командам безопасности следует внедрить белые списки расширений для Chrome, заблокировать известные командные домены на уровне сети и провести тщательный аудит журналов аутентификации в корпоративных системах на предмет аномалий. Ожидается, что аналогичные кампании могут быть нацелены и на другие бизнес-платформы.

URLs

• api.databycloud.com/api/v1/mv3
• api.software-access.com/api/v1/mv3

WebSockets Secure

• wss://api.software-access.com

Threat Actor Identifiers

Registered name: databycloud1104
Registered email: admin@databycloud.com

Registered name: softwareaccess
Registered email: softwareaccess0908@gmail.com

Chrome Extensions

Name: DataByCloud Access
Extension ID: oldhjammhkghhahhhdcifmmlefibciph

Name: Tool Access 11
Extension ID: ijapakghdgckgblfgjobhcfglebbkebf

Name: Data By Cloud 2
Extension ID: makdmacamkifdldldlelollkkjnoiedg
Name: Data By Cloud 1

Extension ID: mbjjeombjeklkbndcjgmfcdhfbjngcam
Name: Software Access
Extension ID: bmodapcihjhklpogdpblefpepjolaoij