Исследователь безопасности Куш Пандья из компании Socket обнаружил скоординированную киберкампанию, в которой задействованы пять вредоносных расширений для браузера Google Chrome. Эти инструменты маскируются под средства повышения продуктивности, но на самом деле нацелены на компрометацию корпоративных HR и ERP платформ, таких как Workday, NetSuite и SuccessFactors. Основная цель злоумышленников заключается в захвате учетных записей жертв, краже токенов аутентификации и блокировании возможностей реагирования на инциденты со стороны служб безопасности. Отчет об угрозе был опубликован в четверг.
В ходе расследования были идентифицированы конкретные расширения, участвующие в атаке. Четыре из них были удалены из интернет-магазина Chrome Web Store, однако расширение под названием «Software Access» (ID:
Технически расширения функционируют как единая операция с идентичной инфраструктурой. Их главные возможности включают кражу файлов cookie с последующей отправкой на удаленный сервер, манипуляции с объектной моделью документа (DOM) для стирания содержимого страниц и перенаправления URL-адресов, а также перехват сеансов. Особую опасность представляет функция блокировки административного доступа, которая не позволяет службам безопасности устранить взлом.
Поведение расширения «DataByCloud Access» характеризуется запросом широкого спектра разрешений, включая доступ к файлам cookie, управлению, скриптам и хранилищу на платформах Workday, NetSuite и SuccessFactors. Собранные аутентификационные данные передаются на командно-контрольный сервер (C2) с доменом
Расширения также активно препятствуют действиям администраторов. Версия 1.4 расширения «Tool Access 11» блокирует доступ к 44 административным страницам в Workday, стирая их содержимое и перенаправляя на некорректные URL. Под удар попадают интерфейсы управления аутентификацией, настройки прокси-серверов безопасности и управление диапазонами IP-адресов. «DataByCloud 2» действует еще агрессивнее, блокируя 56 страниц, включая смену паролей, деактивацию аккаунтов, управление устройствами двухфакторной аутентификации (2FA) и журналы аудита безопасности. Данное расширение нацелено как на производственные среды, так и на тестовую среду «песочницы» Workday по адресу
Для скрытия своей деятельности расширение «DataByCloud 1» использует библиотеку с открытым исходным кодом DisableDevtool, что предотвращает инспекцию кода через инструменты разработчика браузера, а также шифрует трафик, передаваемый на C2-сервер. Наиболее сложным инструментом в арсенале хакеров является «Software Access». Оно реализует двунаправленную кражу: не только похищает файлы cookie, но и получает украденные данные для их внедрения в браузер злоумышленника. Используя домен
Исследователи обнаружили встроенный механизм уклонения, присутствующий во всех пяти расширениях. В коде содержится идентичный список из 23 расширений безопасности Chrome, наличие которых у жертвы отслеживается вредоносным ПО. В этот список «наблюдения» входят такие популярные инструменты, как EditThisCookie, Cookie-Editor, ModHeader, Redux DevTools и SessionBox. Использование одинакового списка идентификаторов и инфраструктурных паттернов указывает на то, что за атакой стоит либо одна и та же группировка, использующая разные имена издателей, либо разные акторы, применяющие общий вредоносный инструментарий.
Стратегический эффект данной кампании создает для команд безопасности ситуацию «Уловки-22». Администраторы могут обнаружить несанкционированный доступ, но технически не способны устранить проблему, так как вредоносное ПО через DOM-манипуляции блокирует доступ к самим административным интерфейсам, необходимым для реагирования на инцидент.
Пользователям и администраторам настоятельно рекомендуется немедленно удалить указанные расширения, провести сброс паролей и тщательно проверить журналы на предмет несанкционированного доступа с незнакомых IP-адресов или устройств. Угроза остается актуальной, особенно учитывая активность расширения «Software Access» и доступность файлов на сторонних сайтах.
Изображение носит иллюстративный характер
В ходе расследования были идентифицированы конкретные расширения, участвующие в атаке. Четыре из них были удалены из интернет-магазина Chrome Web Store, однако расширение под названием «Software Access» (ID:
bmodapcihjhklpogdpblefpepjolaoij) с издателем Software Access оставалось активным на момент публикации отчета, имея 27 установок. Удаленные расширения включают «DataByCloud Access» (ID: oldhjammhkghhahhhdcifmmlefibciph, 251 установка), «Tool Access 11» (ID: ijapakghdgckgblfgjobhcfglebbkebf, 101 установка), «DataByCloud 1» (ID: mbjjeombjeklkbndcjgmfcdhfbjngcam, 1000 установок) и «DataByCloud 2» (ID: makdmacamkifdldldlelollkkjnoiedg, 1000 установок). Издателем последних четырех числится databycloud1104. Примечательно, что «DataByCloud 1» и «DataByCloud 2» были впервые опубликованы еще 18 августа 2021 года. Несмотря на удаление из официального магазина, все упомянутые программы по-прежнему доступны на сторонних ресурсах, таких как Softonic. Технически расширения функционируют как единая операция с идентичной инфраструктурой. Их главные возможности включают кражу файлов cookie с последующей отправкой на удаленный сервер, манипуляции с объектной моделью документа (DOM) для стирания содержимого страниц и перенаправления URL-адресов, а также перехват сеансов. Особую опасность представляет функция блокировки административного доступа, которая не позволяет службам безопасности устранить взлом.
Поведение расширения «DataByCloud Access» характеризуется запросом широкого спектра разрешений, включая доступ к файлам cookie, управлению, скриптам и хранилищу на платформах Workday, NetSuite и SuccessFactors. Собранные аутентификационные данные передаются на командно-контрольный сервер (C2) с доменом
api.databycloud[.]com с интервалом в 60 секунд. Расширения также активно препятствуют действиям администраторов. Версия 1.4 расширения «Tool Access 11» блокирует доступ к 44 административным страницам в Workday, стирая их содержимое и перенаправляя на некорректные URL. Под удар попадают интерфейсы управления аутентификацией, настройки прокси-серверов безопасности и управление диапазонами IP-адресов. «DataByCloud 2» действует еще агрессивнее, блокируя 56 страниц, включая смену паролей, деактивацию аккаунтов, управление устройствами двухфакторной аутентификации (2FA) и журналы аудита безопасности. Данное расширение нацелено как на производственные среды, так и на тестовую среду «песочницы» Workday по адресу
workdaysuv[.]com. Для скрытия своей деятельности расширение «DataByCloud 1» использует библиотеку с открытым исходным кодом DisableDevtool, что предотвращает инспекцию кода через инструменты разработчика браузера, а также шифрует трафик, передаваемый на C2-сервер. Наиболее сложным инструментом в арсенале хакеров является «Software Access». Оно реализует двунаправленную кражу: не только похищает файлы cookie, но и получает украденные данные для их внедрения в браузер злоумышленника. Используя домен
api.software-access[.]com, вредонос парсит файлы cookie, удаляет существующие и внедряет новые через метод chrome.cookies.set(), фактически устанавливая состояние аутентификации жертвы прямо в браузере хакера. Поля ввода паролей при этом защищаются от инспекции. Исследователи обнаружили встроенный механизм уклонения, присутствующий во всех пяти расширениях. В коде содержится идентичный список из 23 расширений безопасности Chrome, наличие которых у жертвы отслеживается вредоносным ПО. В этот список «наблюдения» входят такие популярные инструменты, как EditThisCookie, Cookie-Editor, ModHeader, Redux DevTools и SessionBox. Использование одинакового списка идентификаторов и инфраструктурных паттернов указывает на то, что за атакой стоит либо одна и та же группировка, использующая разные имена издателей, либо разные акторы, применяющие общий вредоносный инструментарий.
Стратегический эффект данной кампании создает для команд безопасности ситуацию «Уловки-22». Администраторы могут обнаружить несанкционированный доступ, но технически не способны устранить проблему, так как вредоносное ПО через DOM-манипуляции блокирует доступ к самим административным интерфейсам, необходимым для реагирования на инцидент.
Пользователям и администраторам настоятельно рекомендуется немедленно удалить указанные расширения, провести сброс паролей и тщательно проверить журналы на предмет несанкционированного доступа с незнакомых IP-адресов или устройств. Угроза остается актуальной, особенно учитывая активность расширения «Software Access» и доступность файлов на сторонних сайтах.
