Les chercheurs en cybersécurité ont découvert cinq nouvelles extensions malveillantes du navigateur Web Google Chrome qui usurpent l'identité des plateformes de ressources humaines (RH) et de planification des ressources d'entreprise (ERP) telles que Workday, NetSuite et SuccessFactors pour prendre le contrôle des comptes des victimes.
“Les extensions fonctionnent ensemble pour voler des jetons d'authentification, bloquer les capacités de réponse aux incidents et permettre le contrôle complet du compte via le détournement de session”, a déclaré Kush Pandya, chercheur en sécurité chez Socket, dans un rapport publié jeudi.
Les noms des extensions sont répertoriés ci-dessous :
- DataByCloud Access (ID : oldhjammhkghhahhhdcifmmlefibciph, publié par : databycloud1104) – 251 installations
- Tool Access 11 (ID : ijapakghdgckgblfgjobhcfglebbkebf, publié par : databycloud1104) – 101 installations
- DataByCloud 1 (ID : mbjjeombjeklkbndcjgmfcdhfbjngcam, publié par : databycloud1104) – 1000 installations
- DataByCloud 2 (ID : makdmacamkifdldldlelollkkjnoiedg, publié par : databycloud1104) – 1000 installations
- Software Access (ID : bmodapcihjhklpogdpblefpepjolaoij, publié par : Software Access) – 27 installations
Tous, à l'exception de Software Access, ont été supprimés du Chrome Web Store au moment d'écrire ces lignes. Cela dit, ils sont toujours disponibles sur des sites de téléchargement de logiciels tiers comme Softonic. Les modules complémentaires sont présentés comme des outils de productivité offrant un accès à des outils premium pour différentes plates-formes, notamment Workday, NetSuite et d'autres plates-formes. Deux des extensions, DataByCloud 1 et DataByCloud 2, ont été publiées pour la première fois le 18 août 2021.
La campagne, bien qu'elle fasse appel à deux éditeurs différents, est considérée comme une opération coordonnée basée sur des fonctionnalités et des modèles d'infrastructure identiques. Plus précisément, cela implique de divulguer des cookies vers un serveur distant sous le contrôle des attaquants, de manipuler l'arborescence Document Object Model (DOM) pour bloquer les pages d'administration de la sécurité et de faciliter le détournement de session via l'injection de cookies.
Une fois installé, DataByCloud Access demande des autorisations pour les cookies, la gestion, les scripts, le stockage et NetRequest déclaratif sur les domaines Workday, NetSuite et SuccessFactors. Il collecte également les cookies d'authentification pour un domaine spécifique et les transmet au fichier « api.databycloud ».[.]com” toutes les 60 secondes.
“Tool Access 11 (v1.4) empêche l'accès à 44 pages d'administration dans Workday en supprimant le contenu des pages et en redirigeant vers des URL mal formées”, a expliqué Pandya. “Cette extension bloque la gestion de l'authentification, la configuration du proxy de sécurité, la gestion des plages IP et les interfaces de contrôle de session.”
Ceci est réalisé grâce à la manipulation du DOM, l'extension conservant une liste de titres de pages qui est constamment surveillée. Data By Cloud 2 étend la fonctionnalité de blocage à 56 pages, en ajoutant des fonctionnalités cruciales telles que les modifications de mot de passe, la désactivation de compte, la gestion des appareils 2FA et l'accès aux journaux d'audit de sécurité. Il est conçu pour fonctionner à la fois dans les environnements de production et dans l'environnement de test Workday sandbox sur « workdaysuv[.]com.”
En revanche, Data By Cloud 1 reproduit la fonctionnalité de vol de cookies de DataByCloud Access, tout en intégrant des fonctionnalités permettant de contourner l'inspection du code par les outils de développement de navigateur Web à l'aide de la bibliothèque open source DisableDevtool. Les deux extensions chiffrent votre trafic de commande et de contrôle (C2).
L'extension la plus sophistiquée du lot est Software Access, qui combine le vol de cookies avec la possibilité de recevoir des cookies volés sur « api.software-access ».[.]com” et les injecter dans le navigateur pour faciliter le détournement direct de session. De plus, il est équipé d'une protection des champs de saisie par mot de passe pour empêcher les utilisateurs d'inspecter les entrées d'informations d'identification.
“La fonction analyse les cookies de la charge utile du serveur, supprime les cookies existants pour le domaine cible, puis parcourt le tableau de cookies fourni et injecte chacun d'eux à l'aide de chrome.cookies.set()”, a déclaré Socket. “Cela installe l'état d'authentification de la victime directement dans la session du navigateur de l'acteur menaçant.”
Un aspect notable qui unit les cinq extensions est qu'elles présentent une liste identique comprenant 23 extensions Chrome liées à la sécurité, telles que EditThisCookie, Cookie-Editor, ModHeader, Redux DevTools et SessionBox, qui sont conçues pour surveiller et signaler leur présence à l'acteur menaçant.
Il s'agit probablement d'une tentative d'évaluer si le navigateur Web dispose d'outils susceptibles d'interférer avec ses objectifs de collecte de cookies ou de révéler le comportement de l'extension, a déclaré Socket. De plus, la présence d'une liste d'ID d'extension similaires dans les cinq extensions soulève deux possibilités : soit il s'agit du travail du même acteur malveillant qui les a publiés dans différents éditeurs, soit d'un ensemble d'outils commun.
Il est conseillé aux utilisateurs de Chrome qui ont installé l'un des modules complémentaires susmentionnés de le supprimer de leur navigateur, de réinitialiser leurs mots de passe et de rechercher des signes d'accès non autorisé à partir d'adresses IP ou d'appareils inconnus.
“La combinaison du vol d'identifiants en cours, du verrouillage des interfaces administratives et du détournement de session crée un scénario dans lequel les équipes de sécurité peuvent détecter les accès non autorisés mais ne peuvent pas y remédier par les canaux normaux”, a déclaré Socket.
