Cybersecurity-onderzoekers hebben vijf nieuwe kwaadaardige Google Chrome-webbrowserextensies ontdekt die zich voordoen als human resources (HR) en enterprise resource planning (ERP)-platforms zoals Workday, NetSuite en SuccessFactors om de controle over slachtofferaccounts over te nemen.
“De extensies werken samen om authenticatietokens te stelen, de responsmogelijkheden op incidenten te blokkeren en volledige accountovername mogelijk te maken door middel van sessiekaping”, zei Socket-beveiligingsonderzoeker Kush Pandya in een rapport van donderdag.
De namen van de extensies staan hieronder vermeld –
- DataByCloud-toegang (ID: oldhjammhkghhahhhdcifmmlefibciph, uitgegeven door: databycloud1104) – 251 installaties
- Tool Access 11 (ID: ijapakghdgckgblfgjobhcfglebbkebf, uitgegeven door: databycloud1104) – 101 installaties
- DataByCloud 1 (ID: mbjjeombjeklkbndcjgmfcdhfbjngcam, uitgegeven door: databycloud1104) – 1.000 installaties
- DataByCloud 2 (ID: makdmacamkifdldldlelollkkjnoiedg, uitgegeven door: databycloud1104) – 1.000 installaties
- Softwaretoegang (ID: bmodapcihjhklpogdpblefpepjolaoij, uitgegeven door: Software Access) – 27 installaties
Ze zijn allemaal, met uitzondering van Softwaretoegang, op het moment van schrijven uit de Chrome Web Store verwijderd. Dat gezegd hebbende, ze zijn nog steeds beschikbaar op softwaredownloadsites van derden, zoals Softonic. De add-ons worden geadverteerd als productiviteitstools die toegang bieden tot premium tools voor verschillende platforms, waaronder Workday, NetSuite en andere platforms. Twee van de extensies, DataByCloud 1 en DataByCloud 2, werden voor het eerst gepubliceerd op 18 augustus 2021.
De campagne wordt, ondanks het gebruik van twee verschillende uitgevers, beoordeeld als een gecoördineerde operatie op basis van identieke functionaliteit en infrastructuurpatronen. Het gaat specifiek om het exfiltreren van cookies naar een externe server onder controle van de aanvallers, het manipuleren van de Document Object Model (DOM)-boom om pagina’s voor beveiligingsbeheer te blokkeren, en het faciliteren van sessiekaping via cookie-injectie.
Eenmaal geïnstalleerd, vraagt DataByCloud Access toestemming voor cookies, beheer, scripting, opslag en declarativeNetRequest in Workday-, NetSuite- en SuccessFactors-domeinen. Het verzamelt ook authenticatiecookies voor een specifiek domein en verzendt deze elke 60 seconden naar het domein “api.databycloud(.)com”.
“Tool Access 11 (v1.4) voorkomt toegang tot 44 beheerpagina’s binnen Workday door de pagina-inhoud te wissen en om te leiden naar verkeerd opgemaakte URL’s”, legt Pandya uit. “Deze extensie blokkeert authenticatiebeheer, beveiligingsproxyconfiguratie, IP-bereikbeheer en sessiecontrole-interfaces.”
Dit wordt bereikt door DOM-manipulatie, waarbij de extensie een lijst met paginatitels bijhoudt die voortdurend wordt gecontroleerd. Data By Cloud 2 breidt de blokkeerfunctie uit naar 56 pagina’s en voegt cruciale functies toe zoals wachtwoordwijzigingen, accountdeactivering, 2FA-apparaatbeheer en toegang tot beveiligingsauditlogboeken. Het is ontworpen voor zowel productieomgevingen als de sandbox-testomgeving van Workday op “workdaysuv(.)com.”
Data By Cloud 1 repliceert daarentegen de functionaliteit voor het stelen van cookies van DataByCloud Access, terwijl het tegelijkertijd functies bevat om code-inspectie te voorkomen met behulp van webbrowser-ontwikkelaarstools die gebruik maken van de open-source DisableDevtool-bibliotheek. Beide extensies coderen hun command-and-control (C2)-verkeer.
De meest geavanceerde uitbreiding van het geheel is Software Access, dat diefstal van cookies combineert met de mogelijkheid om gestolen cookies van “api.software-access(.)com” te ontvangen en deze in de browser te injecteren om het direct kapen van sessies te vergemakkelijken. Bovendien is het uitgerust met wachtwoordinvoerveldbeveiliging om te voorkomen dat gebruikers de inloggegevens inspecteren.
“De functie parseert cookies uit de serverpayload, verwijdert bestaande cookies voor het doeldomein, doorloopt vervolgens de aangeboden cookie-array en injecteert ze allemaal met behulp van chrome.cookies.set()”, aldus Socket. “Hiermee wordt de authenticatiestatus van het slachtoffer rechtstreeks in de browsersessie van de bedreigingsacteur geïnstalleerd.”
Een opmerkelijk aspect dat alle vijf de extensies met elkaar verbindt, is dat ze een identieke lijst bevatten met 23 beveiligingsgerelateerde Chrome-extensies, zoals EditThisCookie, Cookie-Editor, ModHeader, Redux DevTools en SessionBox, die zijn ontworpen om hun aanwezigheid te monitoren en te signaleren aan de bedreiging.
Dit is waarschijnlijk een poging om te beoordelen of de webbrowser een tool heeft die mogelijk de doelstellingen voor het verzamelen van cookies kan verstoren of het gedrag van de extensie kan onthullen, aldus Socket. Bovendien biedt de aanwezigheid van een vergelijkbare extensie-ID-lijst voor alle vijf de extensies twee mogelijkheden: óf het is het werk van dezelfde dreigingsacteur die ze onder verschillende uitgevers heeft gepubliceerd, óf het is een gemeenschappelijke toolkit.
Chrome-gebruikers die een van de bovengenoemde add-ons hebben geïnstalleerd, wordt geadviseerd deze uit hun browsers te verwijderen, het wachtwoord opnieuw in te stellen en te controleren op tekenen van ongeautoriseerde toegang vanaf onbekende IP-adressen of apparaten.
“De combinatie van voortdurende diefstal van inloggegevens, het blokkeren van administratieve interfaces en het kapen van sessies creëert een scenario waarin beveiligingsteams ongeautoriseerde toegang kunnen detecteren, maar niet via de normale kanalen kunnen herstellen”, aldus Socket.
