Cybersecurity-onderzoekers hebben vijf nieuwe kwaadaardige Google Chrome-webbrowser-extensies ontdekt die zich voordoen als human resources (HR)- en enterprise resource planning (ERP)-platformen zoals Workday, NetSuite en SuccessFactors, met als doel de controle over accounts van slachtoffers over te nemen.
"De extensies werken samen om authenticatietokens te stelen, incident response mogelijkheden te blokkeren en complete account overname mogelijk te maken via session hijacking," aldus Kush Pandya, security researcher bij Socket, in een rapport dat op donderdag werd gepubliceerd.
De namen van de extensies zijn: DataByCloud Access (ID: oldhjammhkghhahhhdcifmmlefibciph), Tool Access 11 (ID: ijapakghdgckgblfgjobhcfglebbkebf), DataByCloud 1 (ID: mbjjeombjeklkbndcjgmfcdhfbjngcam), DataByCloud 2 (ID: makdmacamkifdldldlelollkkjnoiedg) en Software Access (ID: bmodapcihjhklpogdpblefpepjolaoij).
Alle extensies, met uitzondering van Software Access, zijn inmiddels verwijderd uit de Chrome Web Store. Ze zijn echter nog steeds beschikbaar op downloadsites van derden. De add-ons worden aangeprezen als productiviteitstools die toegang bieden tot premium tools voor verschillende platformen, waaronder Workday en NetSuite. Twee van de extensies, DataByCloud 1 en DataByCloud 2, werden voor het eerst gepubliceerd op 18 augustus 2021.
De campagne, ondanks het gebruik van twee verschillende uitgevers, wordt beschouwd als een gecoördineerde operatie op basis van identieke functionaliteit en infrastructuurpatronen. Het omvat specifiek het exfiltreren van cookies naar een externe server onder controle van de aanvallers, het manipuleren van de Document Object Model (DOM)-boom om beveiligingsbeheerpagina's te blokkeren en het faciliteren van sessiekaping via cookie-injectie.
Eenmaal geïnstalleerd, vraagt DataByCloud Access toestemming voor cookies, beheer, scripting, opslag en declarativeNetRequest over de domeinen Workday, NetSuite en SuccessFactors. Het verzamelt ook authenticatiecookies voor een gespecificeerd domein en verzendt deze elke 60 seconden naar het "api.databycloud[.]com" domein.
"Tool Access 11 (v1.4) voorkomt toegang tot 44 administratieve pagina's binnen Workday door pagina-inhoud te wissen en door te verwijzen naar verkeerd gevormde URL's," legt Pandya uit. "Deze extensie blokkeert authenticatiebeheer, beveiligingsproxyconfiguratie, IP-bereikbeheer en sessiecontrole-interfaces."
Dit wordt bereikt door DOM-manipulatie, waarbij de extensie een lijst bijhoudt van paginatitels die voortdurend worden bewaakt. Data By Cloud 2 breidt de blokkeerfunctie uit naar 56 pagina's en voegt cruciale functies toe zoals wachtwoordwijzigingen, accountdeactivering, 2FA-apparaatbeheer en toegang tot beveiligingsauditlogboeken. Het is ontworpen om zowel productieomgevingen als de sandbox-testomgeving van Workday op "workdaysuv[.]com" te targeten.
Data By Cloud 1 repliceert de cookie-stelende functionaliteit van DataByCloud Access en bevat tegelijkertijd functies om code-inspectie te voorkomen met behulp van web browser developer tools met behulp van de open-source DisableDevtool library. Beide extensies versleutelen hun command-and-control (C2) verkeer.
De meest geavanceerde extensie van het stel is Software Access, die cookie-diefstal combineert met de mogelijkheid om gestolen cookies te ontvangen van "api.software-access[.]com" en deze in de browser te injecteren om directe sessiekaping te faciliteren. Bovendien is het uitgerust met wachtwoord input field protection om te voorkomen dat gebruikers credential inputs inspecteren.
"De functie parseert cookies uit de server payload, verwijdert bestaande cookies voor het doeldomein en itereert vervolgens door de meegeleverde cookie-array en injecteert elk item met behulp van chrome.cookies.set()," aldus Socket. "Dit installeert de authenticatiestatus van het slachtoffer rechtstreeks in de browsersessie van de dreigingsactor."
Een opmerkelijk aspect dat alle vijf extensies met elkaar verbindt, is dat ze een identieke lijst bevatten van 23 beveiligingsgerelateerde Chrome-extensies, zoals EditThisCookie, Cookie-Editor, ModHeader, Redux DevTools en SessionBox, die zijn ontworpen om hun aanwezigheid te bewaken en te signaleren aan de dreigingsactor.
Dit is waarschijnlijk een poging om te beoordelen of de webbrowser een tool heeft die mogelijk hun cookie harvesting doelstellingen kan verstoren of het gedrag van de extensie kan onthullen, aldus Socket. Bovendien roept de aanwezigheid van een vergelijkbare extensie-ID-lijst in alle vijf extensies twee mogelijkheden op: ofwel het is het werk van dezelfde dreigingsactor die ze onder verschillende uitgevers heeft gepubliceerd, ofwel een gemeenschappelijke toolkit.
Chrome-gebruikers die een van de bovengenoemde add-ons hebben geïnstalleerd, wordt geadviseerd deze uit hun browsers te verwijderen, wachtwoorden opnieuw in te stellen en te controleren op tekenen van ongeautoriseerde toegang vanaf onbekende IP-adressen of apparaten.
"De combinatie van continue credential theft, blokkering van de administratieve interface en session hijacking creëert een scenario waarin beveiligingsteams ongeautoriseerde toegang kunnen detecteren, maar niet kunnen verhelpen via normale kanalen," aldus Socket.
Bron
