Các nhà nghiên cứu an ninh mạng đã phát hiện ra năm tiện ích mở rộng trình duyệt web Google Chrome độc hại mới, giả mạo các nền tảng quản lý nguồn nhân lực (HR) và hoạch định tài nguyên doanh nghiệp (ERP) như Workday, NetSuite và SuccessFactors để chiếm quyền kiểm soát tài khoản nạn nhân.
"Các tiện ích mở rộng này hoạt động phối hợp để đánh cắp các authentication tokens, chặn khả năng phản ứng sự cố và cho phép chiếm đoạt hoàn toàn tài khoản thông qua session hijacking," nhà nghiên cứu bảo mật Kush Pandya của Socket cho biết trong một báo cáo hôm thứ Năm.
Tên của các tiện ích mở rộng được liệt kê dưới đây:
- DataByCloud Access (ID: oldhjammhkghhahhhdcifmmlefibciph, Phát hành bởi: databycloud1104) - 251 lượt cài đặt
- Tool Access 11 (ID: ijapakghdgckgblfgjobhcfglebbkebf, Phát hành bởi: databycloud1104) - 101 lượt cài đặt
- DataByCloud 1 (ID: mbjjeombjeklkbndcjgmfcdhfbjngcam, Phát hành bởi: databycloud1104) - 1.000 lượt cài đặt
- DataByCloud 2 (ID: makdmacamkifdldldlelollkkjnoiedg, Phát hành bởi: databycloud1104) - 1.000 lượt cài đặt
- Software Access (ID: bmodapcihjhklpogdpblefpepjolaoij, Phát hành bởi: Software Access) - 27 lượt cài đặt
Tất cả các tiện ích mở rộng này, ngoại trừ Software Access, đã bị gỡ khỏi Chrome Web Store tính đến thời điểm hiện tại. Tuy nhiên, chúng vẫn có sẵn trên các trang web tải phần mềm của bên thứ ba như Softonic. Các add-on này được quảng cáo là công cụ năng suất cung cấp quyền truy cập vào các công cụ cao cấp cho các nền tảng khác nhau, bao gồm Workday, NetSuite và các nền tảng khác. Hai trong số các tiện ích mở rộng, DataByCloud 1 và DataByCloud 2, lần đầu tiên được phát hành vào ngày 18 tháng 8 năm 2021.
Chiến dịch này, mặc dù sử dụng hai nhà phát hành khác nhau, nhưng được đánh giá là một hoạt động phối hợp dựa trên các chức năng và mẫu cơ sở hạ tầng giống hệt nhau. Nó đặc biệt liên quan đến việc exfiltrating cookies đến một máy chủ từ xa dưới sự kiểm soát của kẻ tấn công, thao tác Document Object Model (DOM) tree để chặn các trang quản trị bảo mật và tạo điều kiện cho session hijacking thông qua cookie injection.
Khi được cài đặt, DataByCloud Access yêu cầu các quyền đối với cookies, management, scripting, storage và declarativeNetRequest trên các domain của Workday, NetSuite và SuccessFactors. Nó cũng thu thập các authentication cookies cho một domain được chỉ định và truyền chúng đến domain "api.databycloud[.]com" cứ sau 60 giây.
"Tool Access 11 (v1.4) ngăn chặn quyền truy cập vào 44 trang quản trị trong Workday bằng cách xóa nội dung trang và chuyển hướng đến các URL bị lỗi," Pandya giải thích. "Tiện ích mở rộng này chặn quản lý xác thực, cấu hình proxy bảo mật, quản lý dải IP và giao diện kiểm soát phiên."
Điều này đạt được bằng cách thao tác DOM, với tiện ích mở rộng duy trì danh sách các tiêu đề trang được giám sát liên tục. Data By Cloud 2 mở rộng tính năng chặn lên 56 trang, bổ sung các chức năng quan trọng như thay đổi mật khẩu, hủy kích hoạt tài khoản, quản lý thiết bị 2FA và truy cập nhật ký kiểm tra bảo mật. Nó được thiết kế để nhắm mục tiêu cả môi trường sản xuất và môi trường thử nghiệm sandbox của Workday tại "workdaysuv[.]com".
Ngược lại, Data By Cloud 1 sao chép chức năng đánh cắp cookie từ DataByCloud Access, đồng thời tích hợp các tính năng để ngăn chặn việc kiểm tra mã bằng các công cụ dành cho nhà phát triển trình duyệt web sử dụng thư viện mã nguồn mở DisableDevtool. Cả hai tiện ích mở rộng đều mã hóa lưu lượng command-and-control (C2) của chúng.
Tiện ích mở rộng tinh vi nhất trong số đó là Software Access, kết hợp việc đánh cắp cookie với khả năng nhận các cookie bị đánh cắp từ "api.software-access[.]com" và inject chúng vào trình duyệt để tạo điều kiện cho session hijacking trực tiếp. Hơn nữa, nó còn được trang bị tính năng bảo vệ trường nhập mật khẩu để ngăn người dùng kiểm tra thông tin đăng nhập.
"Chức năng này phân tích cú pháp cookies từ tải trọng máy chủ, loại bỏ các cookie hiện có cho domain mục tiêu, sau đó lặp lại qua mảng cookie được cung cấp và inject từng cookie một bằng cách sử dụng chrome.cookies.set()," Socket cho biết. "Điều này cài đặt trạng thái xác thực của nạn nhân trực tiếp vào phiên trình duyệt của tác nhân đe dọa."
Một khía cạnh đáng chú ý liên kết cả năm tiện ích mở rộng là chúng có một danh sách giống hệt nhau bao gồm 23 tiện ích mở rộng Chrome liên quan đến bảo mật, chẳng hạn như EditThisCookie, Cookie-Editor, ModHeader, Redux DevTools và SessionBox, được thiết kế để giám sát và báo hiệu sự hiện diện của chúng cho tác nhân đe dọa.
Đây có thể là một nỗ lực để đánh giá xem trình duyệt web có bất kỳ công cụ nào có thể can thiệp vào mục tiêu thu thập cookie của chúng hoặc tiết lộ hành vi của tiện ích mở rộng hay không, Socket cho biết. Hơn nữa, sự hiện diện của một danh sách ID tiện ích mở rộng tương tự trên cả năm tiện ích mở rộng làm dấy lên hai khả năng: đó là công việc của cùng một tác nhân đe dọa đã phát hành chúng dưới các nhà phát hành khác nhau hoặc một bộ công cụ chung.
Người dùng Chrome đã cài đặt bất kỳ add-on nào nói trên được khuyên nên gỡ chúng khỏi trình duyệt của mình, thực hiện đặt lại mật khẩu và kiểm tra bất kỳ dấu hiệu truy cập trái phép nào từ các địa chỉ IP hoặc thiết bị không quen thuộc.
"Sự kết hợp giữa đánh cắp thông tin đăng nhập liên tục, chặn giao diện quản trị và session hijacking tạo ra một kịch bản mà các nhóm bảo mật có thể phát hiện truy cập trái phép nhưng không thể khắc phục thông qua các kênh thông thường," Socket cho biết.
