网络安全研究人员发现了五款新的恶意 Google Chrome 浏览器扩展,它们伪装成人力资源(HR)和企业资源计划(ERP)平台(如 Workday、NetSuite 和 SuccessFactors),以劫持受害者账户。
“这些扩展协同工作,窃取身份验证令牌,阻断安全响应能力,并通过会话劫持实现完全账户接管。”Socket 安全研究员 Kush Pandya 在周四的报告中表示。
这些扩展的名称如下:
- DataByCloud Access(ID: oldhjammhkghhahhhdcifmmlefibciph,发布者:databycloud1104)——251 次安装
- Tool Access 11(ID: ijapakghdgckgblfgjobhcfglebbkebf,发布者:databycloud1104)——101 次安装
- DataByCloud 1(ID: mbjjeombjeklkbndcjgmfcdhfbjngcam,发布者:databycloud1104)——1,000 次安装
- DataByCloud 2(ID: makdmacamkifdldldlelollkkjnoiedg,发布者:databycloud1104)——1,000 次安装
- Software Access(ID: bmodapcihjhklpogdpblefpepjolaoij,发布者:Software Access)——27 次安装
截至撰写时,除 Software Access 外,其他四款均已从 Chrome 应用商店下架。尽管如此,它们仍可在 Softonic 等第三方软件下载网站获取。这些插件被宣传为 “生产力工具”,声称能提供 Workday、NetSuite 等平台的 “高级功能访问权限”。其中 DataByCloud 1 和 DataByCloud 2 最早发布于 2021 年 8 月 18 日。
尽管使用了两个不同的发布者,但基于完全相同的功能和基础设施模式,研究人员判定这是一场协同攻击活动。攻击流程包括:将 Cookie 窃取到攻击者控制的远程服务器、通过操纵 DOM 树阻止安全管理页面访问、以及通过 Cookie 注入实现会话劫持。
安装后,DataByCloud Access 会请求对 Workday、NetSuite 和 SuccessFactors 域名的以下权限:cookies、management、scripting、storage 和 declarativeNetRequest。它还会收集指定域名的身份验证 Cookie,并每 60 秒发送到 “api.databycloud [.] com”。
“Tool Access 11(v1.4)通过清空页面内容并跳转到无效 URL,阻止用户访问 Workday 中的 44 个管理页面。”Pandya 解释说。“该扩展会阻断身份验证管理、安全代理配置、IP 范围管理和会话控制界面。”
这是通过 DOM 操纵实现的:扩展会维护一个页面标题列表并持续监控。DataByCloud 2 则将被阻断的页面扩展到 56 个,新增了密码修改、账户停用、双因素认证设备管理和安全审计日志访问等关键功能。它同时针对生产环境和 Workday 的沙箱测试环境 “workdaysuv [.] com”。
相比之下,DataByCloud 1 复制了 DataByCloud Access 的 Cookie 窃取功能,同时集成了使用开源库 DisableDevtool 来阻止开发者工具调试的功能。两款扩展均对其 C2 通信进行加密。
五款扩展中最复杂的是 Software Access,它不仅能窃取 Cookie,还能从 “api.software-access [.] com” 接收被盗的 Cookie,并将其注入浏览器,从而实现直接的会话劫持。此外,它还会保护密码输入框,防止用户查看输入的凭据。
“该功能会从服务器载荷中解析 Cookie,删除目标域名的现有 Cookie,然后遍历提供的 Cookie 数组,使用 chrome.cookies.set () 逐个注入。”Socket 表示。“这会将受害者的身份验证状态直接安装到威胁 actor 的浏览器会话中。”
值得注意的是,所有五款扩展都包含一个完全相同的 23 个安全相关 Chrome 扩展列表,例如 EditThisCookie、Cookie-Editor、ModHeader、Redux DevTools 和 SessionBox。它们会监控这些扩展的存在并向威胁 actor 发送告警。
Socket 认为,这很可能是为了判断浏览器是否安装了可能干扰其 Cookie 窃取目标或暴露其行为的工具。此外,五款扩展共享相同的扩展 ID 列表,这意味着它们要么来自同一威胁 actor(使用不同发布者账号),要么使用了同一个工具包。
Chrome 用户如果安装了上述任何插件,应立即从浏览器中删除,并重置密码,同时检查是否存在来自陌生 IP 或设备的未授权访问。
“持续的凭据窃取、管理界面阻断和会话劫持相结合,会导致安全团队即使检测到未授权访问,也无法通过正常渠道进行补救。”Socket 警告说。
发表评论
您还未登录,请先登录。
登录