Los investigadores de ciberseguridad han descubierto cinco nuevas extensiones maliciosas del navegador web Google Chrome que se hacen pasar por plataformas de recursos humanos (RRHH) y planificación de recursos empresariales (ERP), como Workday, NetSuite y SuccessFactors, para tomar el control de las cuentas de las víctimas.

«Las extensiones funcionan en conjunto para robar los tokens de autenticación, bloquear las capacidades de respuesta a los incidentes y permitir el control total de la cuenta mediante el secuestro de sesiones», dijo Kush Pandya, investigador de seguridad de Socket dijo en un informe del jueves.

Los nombres de las extensiones se enumeran a continuación:

  • Acceso a DatabyCloud (ID: oldhjammhkghhahhhdcifmmlefibciph, publicado por: databycloud1104): 251 instalaciones
  • Tool Access 11 (ID: ijapakghdgckgblfgjobhcfglebbkebf, publicado por: databycloud1104) - 101 instalaciones
  • DatabyCloud 1 (ID: mbjjeombjeklkbndcjgmfcdhfbjngcam, publicado por: databycloud1104) - 1,000 instalaciones
  • DatabyCloud 2 (ID: makdmacamkifdldlelollkkjnoiedg, publicado por: databycloud1104) - 1,000 instalaciones
  • Acceso al software (ID: bmodapcihjhklpogdpblefpepjolaoij, publicado por: Software Access): 27 instalaciones

Todas ellas, con la excepción de Software Access, se han eliminado de Chrome Web Store al momento de escribir este artículo. Dicho esto, todavía están disponibles en sitios de descarga de software de terceros, como Softonic. Los complementos se anuncian como herramientas de productividad que ofrecen acceso a herramientas premium para diferentes plataformas, incluidas Workday, NetSuite y otras plataformas. Dos de las extensiones, DatabyCloud 1 y DatabyCloud 2, se publicaron por primera vez el 18 de agosto de 2021.

La campaña, a pesar de utilizar dos editores diferentes, se considera una operación coordinada basada en patrones idénticos de funcionalidad e infraestructura. Concretamente, consiste en filtrar las cookies a un servidor remoto bajo el control de los atacantes, manipular el árbol del modelo de objetos documentales (DOM) para bloquear las páginas de administración de seguridad y facilitar el secuestro de sesiones mediante la inyección de cookies.

Una vez instalado, DatamyCloud Access solicita permisos para las cookies, la administración, la creación de scripts, el almacenamiento y DeclarativeNetRequest en los dominios de Workday, NetSuite y SuccessFactors. También recopila cookies de autenticación para un dominio específico y las transmite al dominio «api.databycloud [.] com» cada 60 segundos.

«Tool Access 11 (v1.4) impide el acceso a 44 páginas administrativas de Workday al borrar el contenido de la página y redirigir a URL con formato incorrecto», explica Pandya. «Esta extensión bloquea la administración de la autenticación, la configuración de los proxies de seguridad, la administración del rango de IP y las interfaces de control de sesiones».

Esto se logra mediante la manipulación del DOM, ya que la extensión mantiene una lista de títulos de páginas que se monitorea constantemente. Data By Cloud 2 amplía la función de bloqueo a 56 páginas, añadiendo funciones cruciales como el cambio de contraseña, la desactivación de cuentas, la administración de dispositivos mediante doble autenticación y el acceso a los registros de auditoría de seguridad. Está diseñado para adaptarse tanto a los entornos de producción como al entorno de pruebas sandbox de Workday, que se encuentra en «workdaysuv [.] com».

Por el contrario, Data By Cloud 1 replica la funcionalidad de robo de cookies de DatabyCloud Access y, al mismo tiempo, incorpora funciones para evitar la inspección del código mediante herramientas de desarrollo de navegadores web que utilizan el código abierto Biblioteca DisableDevTool . Ambas extensiones cifran su tráfico de comando y control (C2).

La extensión más sofisticada del lote es Software Access, que combina el robo de cookies con la posibilidad de recibir cookies robadas de «api.software-access [.] com» e inyectarlas en el navegador para facilitar el secuestro directo de sesiones. Además, viene equipado con una protección en el campo de introducción de contraseñas para evitar que los usuarios inspeccionen las credenciales introducidas.

«La función analiza las cookies de la carga útil del servidor, elimina las cookies existentes para el dominio de destino, luego recorre la matriz de cookies proporcionada e inyecta cada una de ellas mediante chrome.cookies.set ()», explica Socket. «Esto instala el estado de autenticación de la víctima directamente en la sesión del navegador del autor de la amenaza».

Un aspecto notable que une a las cinco extensiones es que presentan una lista idéntica compuesta por 23 extensiones de Chrome relacionadas con la seguridad, como EditThisCookie, Cookie-Editor, ModHeader, Redux DevTools y SessionBox, que están diseñadas para monitorear y señalar su presencia al actor de la amenaza.

Es probable que se trate de un intento de evaluar si el navegador web tiene alguna herramienta que pueda interferir con sus objetivos de recolección de cookies o revelar el comportamiento de la extensión, dijo Socket. Además, la presencia de una lista de ID de extensión similar en las cinco extensiones plantea dos posibilidades: o se trata del trabajo del mismo agente de amenazas que las ha publicado con diferentes editores o de un conjunto de herramientas común.

Se recomienda a los usuarios de Chrome que hayan instalado alguno de los complementos antes mencionados que los eliminen de sus navegadores, restablezcan las contraseñas y comprueben si hay señales de acceso no autorizado desde direcciones IP o dispositivos desconocidos.

«La combinación del robo continuo de credenciales, el bloqueo de la interfaz administrativa y el secuestro de sesiones crea un escenario en el que los equipos de seguridad pueden detectar el acceso no autorizado, pero no pueden remediarlo a través de los canales normales», afirma Socket.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.