Pesquisadores da Socket.dev identificaram cinco extensões maliciosas do Chrome que, em conjunto, realizam ataques elaborados direcionados a ambientes corporativos. Essas ferramentas se disfarçam de soluções de produtividade para plataformas como Workday, NetSuite e SuccessFactors, mas, na verdade, têm como objetivo o roubo de tokens de autenticação e a obstrução das respostas a incidentes, possibilitando o sequestro total de contas.
Quatro das extensões foram lançadas sob a denominação “databycloud1104”, enquanto a quinta opera sob o nome “softwareaccess”. Apesar da aparência de diferentes desenvolvedores, todas compartilham a mesma infraestrutura, o que revela uma operação coordenada. Esses ataques já impactaram mais de 2.300 usuários em diversas empresas ao redor do mundo.
Atraindo vítimas com ferramentas de produtividade
As extensões utilizam descrições convincentes para enganar usuários desavisados. A DataByCloud 2 apresenta um painel bem elaborado que promete “ferramentas premium” para Workday e NetSuite, incluindo cartões de conta com valores em dólares e botões que sugerem funcionalidades legítimas para gerenciar múltiplas contas empresariais.
Por outro lado, a Tool Access 11 se posiciona como um recurso de segurança, prometendo “restringir o acesso a ferramentas especiais” e “limitar interações dos usuários” para proteger contas. A descrição faz parecer que se trata de uma salvaguarda para administradores ou equipes de compliance que buscam controlar modificações feitas por usuários finais.
As políticas de privacidade, na verdade, fazem alegações falsas sobre a não coleta de dados, enquanto as extensões realizam um roubo abrangente de credenciais e comprometem a resposta a incidentes.
Estratégias de ataque em campanha coordenada
O que torna essa campanha especialmente perigosa é a combinação de três táticas de ataque que ocorrem simultaneamente através das extensões. DataByCloud Access e Data By Cloud 1 são responsáveis pelo roubo direto de cookies de autenticação, extraindo a cada 60 segundos cookies chamados “__session”, que contêm tokens de autenticação para plataformas empresariais.
Mesmo quando os usuários fazem logout e login novamente, essas ferramentas conseguem capturar os novos tokens e enviá-los para servidores controlados pelos atacantes. A uniformidade do código entre as extensões que realizam o roubo de cookies, incluindo a sintaxe da função e o nome específico do cookie alvo, indica uma coordenação entre os desenvolvedores.
As extensões Tool Access 11 e Data By Cloud 2, por sua vez, realizam uma ação ainda mais maliciosa. Elas manipulam a estrutura das páginas da web para bloquear o acesso a 44 e 56 interfaces administrativas de segurança, respectivamente. Um observador de mutações verifica o DOM a cada 50 milissegundos para reaplicar o bloqueio caso o conteúdo da página mude.
Impedindo respostas a incidentes
A Data By Cloud 2 amplia significativamente a lista de bloqueios estabelecida pelo Tool Access 11, adicionando 12 páginas críticas que são essenciais para a resposta a incidentes. Isso inclui a página “Alterar Senha”, que é bloqueada para evitar que usuários ou administradores atualizem credenciais comprometidas.
Após o roubo dos tokens de autenticação, as extensões também bloqueiam mudanças de senha, garantindo que os tokens furtados permaneçam válidos indefinidamente. A funcionalidade de “Desativar Contas Workday” é obstruída, impedindo que equipes de segurança bloqueiem contas comprometidas durante a resposta a incidentes.
Além disso, o bloqueio de “Gerenciar Dispositivos Confiáveis” evita a remoção de dispositivos que possam ter sido adicionados usando credenciais roubadas. As páginas “Ver Histórico de Login” e “Revisar Histórico de Autenticação” são eliminadas, dificultando a identificação de padrões de login que poderiam indicar acessos não autorizados.
A extensão também impede o acesso à página “Editar Configuração do Tenant – Segurança”, o que impossibilita a modificação de políticas de segurança e requisitos de autenticação, deixando as contas vulneráveis a ataques contínuos.
Perguntas frequentes
Quais extensões do Chrome foram identificadas como maliciosas? As extensões maliciosas são cinco, sendo quatro com o nome “databycloud1104” e uma com o nome “softwareaccess”.
Como essas extensões enganam os usuários? Elas se disfarçam de soluções de produtividade e utilizam descrições atraentes para parecerem legítimas, prometendo funcionalidades úteis.
Quais são as consequências do uso dessas extensões? Elas roubam tokens de autenticação, bloqueiam respostas a incidentes e podem levar ao sequestro completo de contas corporativas.
Quantos usuários já foram afetados por essas ferramentas? Mais de 2.300 usuários em empresas ao redor do mundo já foram impactados pelas extensões maliciosas.
Que tipo de ataque essas extensões realizam? Elas realizam o roubo de cookies de autenticação, bloqueiam acesso a interfaces de segurança e impedem a troca de senhas, entre outras ações.
Fonte: https://www.tecmundo.com.br
