Скоординированная кампания вредоносных расширений для браузеров обошла системы защиты магазина Chrome Web Store, превратив дополнения, рекламируемые как инструменты для повышения продуктивности, в оружие для кражи корпоративных сессионных токенов и попыток полного захвата учётных записей.
«Расширения работают сообща, чтобы красть аутентификационные токены, блокировать возможности реагирования на инциденты и обеспечивать полный захват учётной записи посредством угона сессий», — написали исследователи в своём блоге, раскрывая кампанию, нацеленную на широко используемые HR- и ERP-платформы.
Угроза, обнаруженная исследовательской группой Socket.dev, представляет собой многовекторное корпоративное вторжение, которое сочетает скрытую кражу учётных данных с активным вмешательством в механизмы безопасности. Злоумышленники, стоящие за этой группой, опубликовали пять расширений для Chrome, которые, несмотря на профессиональное брендирование и кажущиеся законными сценарии использования, выполняют вредоносные действия глубоко в корпоративных рабочих процессах.
По данным об установках, более 2300 пользователей были обмануты и установили эти инструменты до того, как исследователи уведомили команды безопасности Google и подали запросы на удаление. Расширения нацелены на такие системы, как Workday, NetSuite и SuccessFactors, где одна скомпрометированная сессия может раскрыть записи сотрудников, финансовые данные и внутренние рабочие процессы.
Маскировка под инструменты продуктивности с вредоносным кодом
Каждое расширение в этой группе выдавало себя за средство повышения продуктивности или помощника по безопасности для корпоративных пользователей. В описаниях фигурировали отполированные панели управления и обещания упрощённого доступа к HR- или ERP-инструментам. Запрашиваемые разрешения были «стандартными», то есть казались безвредными функциями, такими как доступ к файлам cookie или изменение содержимого страниц.
Однако после установки три из этих расширений, включая DataByCloud Access, Data By Cloud 1 и вариант под названием Software Access, эксфильтровали сессионные файлы cookie, содержащие аутентификационные токены, на инфраструктуру, контролируемую злоумышленниками. Эти токены во многих корпоративных системах достаточны для аутентификации пользователя без пароля. В некоторых случаях эти файлы cookie извлекались каждые 60 секунд для обеспечения актуальности учётных данных.
Скомпрометированные сессии могут служить украденными паролями, поскольку сессии уже прошли через экраны входа и многофакторные проверки, что позволяет получить прямой доступ к учётной записи без срабатывания обычных оповещений системы безопасности.
«На момент написания все пять расширений остаются под следствием», — заявили исследователи. «Мы направили запросы на удаление команде безопасности Chrome Web Store от Google». Google не ответила немедленно на запрос CSO о комментариях.
Блокировка защиты и угон сессий
Кампания не ограничивалась кражей учётных данных. Два расширения, Tool Access 11 и Data By Cloud 2, включали в себя процедуры манипуляции с DOM, которые активно блокировали доступ к страницам безопасности и административным разделам внутри целевых платформ. Это не позволяло корпоративным администраторам получить доступ к экранам для смены паролей, просмотра истории входов или отключения скомпрометированных учётных записей, даже если они обнаруживали подозрительную активность.
Самое продвинутое из пяти расширений, Software Access, помимо кражи файлов cookie, предлагало двунаправленную инъекцию файлов cookie, при которой украденные сессионные токены повторно внедрялись в браузер, контролируемый злоумышленником. Используя такие API, как «chrome.cookies.set()», эта функция напрямую внедряет действительные аутентификационные файлы cookie и предоставляет угрожающим сторонам аутентифицированную сессию без каких-либо дополнительных действий со стороны ничего не подозревающих пользователей.
Эта техника эффективно обходит экраны входа и многофакторную аутентификацию, позволяя немедленно захватить учётную запись.
«В то время как четыре расширения опубликованы под именем databycloud1104, а пятое — под другим брендом, все пять имеют идентичные инфраструктурные паттерны, что указывает на единую скоординированную операцию», — добавили исследователи. Socket порекомендовала организациям строго проверять и ограничивать расширения браузера, внимательно изучать запросы на разрешения и удалять дополнения, которые без необходимости получают доступ к файлам cookie или корпоративным сайтам. В блоге также было рекомендовано отслеживать аномальную сессионную активность и использовать инструменты, способные обнаруживать вредоносное поведение расширений до того, как оно достигнет пользователей.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
