Исследователи из компании Socket, занимающейся вопросами безопасности, обнаружили скоординированную кампанию, основанную на вредоносных дополнениях для Chrome. Злоумышленникам удалось обойти механизмы защиты Chrome Web Store, маскируя расширения под инструменты для повышения продуктивности.
«Расширения работают сообща, чтобы похищать токены аутентификации, блокировать функции реагирования на инциденты и обеспечивать полный захват учётных записей посредством угона сессий», — разъясняют специалисты по безопасности в записи в блоге.
Организаторы кампании выпустили пять расширений для Chrome, которые, несмотря на профессиональный брендинг и видимость легитимных сценариев использования, выполняли вредоносные действия глубоко внутри корпоративных рабочих процессов.
Показатели установки свидетельствуют о том, что более 2 300 пользователей были введены в заблуждение и установили эти инструменты. Расширения нацелены на такие системы, как Workday, NetSuite и SuccessFactors, где угон одной сессии может раскрыть данные сотрудников, финансовую информацию и внутренние рабочие процессы.
Замаскированные инструменты продуктивности с вредоносным кодом
Эти расширения выдавали себя за бустеры продуктивности или помощников по безопасности для корпоративных пользователей. В описаниях злоумышленники демонстрировали профессионально оформленные панели управления и обещали упрощённый доступ к инструментам HR или ERP. Запрашиваемые разрешения были при этом «стандартными» и включали кажущиеся безобидными функции, такие как доступ к файлам cookie или модификация веб-сайтов.
Однако после установки три из расширений, включая DataByCloud Access, Data By Cloud 1 и вариант под названием Software Access, эксфильтровали сессионные файлы cookie с токенами аутентификации на инфраструктуру, контролируемую злоумышленником. Этих токенов во многих корпоративных системах достаточно для аутентификации пользователя без ввода пароля. В некоторых случаях эти файлы cookie извлекались каждые 60 секунд для обеспечения актуальности учётных данных.
Скомпрометированные сессии могут выполнять ту же функцию, что и украденные пароли, поскольку они уже прошли страницы входа и проверки многофакторной аутентификации, предоставляя прямой доступ к учётной записи без срабатывания обычных предупреждений системы безопасности.
«На момент написания этой статьи все пять расширений всё ещё находятся на рассмотрении», — отмечают исследователи. «Мы подали заявки на удаление в команду безопасности Google для Chrome Web Store».
Блокировка мер безопасности и угон сессий
Однако кампания не ограничилась кражей учётных данных. Два расширения, Tool Access 11 и Data By Cloud 2, содержали процедуры манипуляции DOM, которые активно блокировали доступ к страницам безопасности и администрирования внутри целевых платформ. Это не позволяло корпоративным администраторам даже изменить пароли, просмотреть историю входа или деактивировать скомпрометированные учётные записи, даже если они замечали подозрительную активность.
Самое технически продвинутое из пяти расширений, Software Access, помимо кражи файлов cookie, предлагало двунаправленную инъекцию файлов cookie, при которой украденные сессионные токены повторно внедрялись в браузер, контролируемый злоумышленником. С помощью таких API, как «chrome.cookies.set()», эта функция напрямую имплантирует действующие файлы cookie аутентификации, предоставляя атакующим аутентифицированную сессию без необходимости дополнительных действий со стороны ничего не подозревающих пользователей.
«В то время как четыре расширения распространяются под именем databycloud1104, а пятое — под другим брендом, все пять демонстрируют идентичные паттерны инфраструктуры, что указывает на единую скоординированную операцию», — добавляют исследователи.
Советы по защите
Socket рекомендует компаниям тщательно проверять и ограничивать использование расширений браузера, внимательно изучать запросы разрешений и удалять аддоны, которые необоснованно запрашивают доступ к файлам cookie или корпоративным веб-сайтам. Кроме того, в блоге советуют отслеживать необычную активность сессий и использовать инструменты, способные обнаруживать вредоносное поведение расширений до того, как оно затронет пользователей. (jm)
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
