Chiến dịch mới được phát hiện bởi công ty an ninh mạng Socket, họ đã xác định được năm tiện ích mở rộng của Chrome nhắm mục tiêu vào các phần mềm như Workday, NetSuite và SAP SuccessFactors, với hơn 2.300 lượt cài đặt. Theo các nhà nghiên cứu, những kẻ tấn công triển khai ba kiểu tấn công khác nhau, bao gồm đánh cắp cookie để chuyển hướng truy cập đến máy chủ từ xa, chặn các trang quản trị bảo mật và chèn cookie hai chiều để chiếm đoạt phiên trực tiếp.
“Các tiện ích mở rộng độc hại nhắm mục tiêu vào cùng một nền tảng doanh nghiệp và chia sẻ danh sách phát hiện công cụ bảo mật, điểm cuối API và cấu trúc code giống hệt nhau, cho thấy một hoạt động phối hợp mặc dù chúng xuất hiện như những nhà phát hành riêng biệt”, Socket thông báo.
Đáng chú ý, các tiện ích này được phát hành dưới nhiều tên gọi khác nhau, nhưng các nhà nghiên cứu cho biết chúng có chung cơ sở hạ tầng, code và mục tiêu nhắm đến. Bốn trong số các tiện ích mở rộng được phát hành dưới tên nhà phát triển databycloud1104, trong khi tiện ích thứ năm sử dụng thương hiệu khác dưới tên Software Access.
Mặc dù chỉ ảnh hưởng đến 2.300 người dùng, nhưng việc đánh cắp thông tin đăng nhập các phần mềm doanh nghiệp có thể thúc đẩy các cuộc tấn công mã độc tống tiền và đánh cắp dữ liệu quy mô lớn.
Socket cho biết, các tiện ích mở rộng này được quảng bá đến người dùng các nền tảng quản lý nhân sự và hoạch định nguồn lực doanh nghiệp, tự giới thiệu là các công cụ được thiết kế để cải thiện năng suất, tối ưu hóa quy trình làm việc hoặc tăng cường kiểm soát bảo mật.
Một số tiện ích tuyên bố cung cấp quyền truy cập đơn giản hơn vào “các công cụ premium” trên Workday, NetSuite và các nền tảng khác. Thậm chí, Data By Cloud 2 đã được cài đặt 1.000 lần và quảng bá như một bảng điều khiển có khả năng hỗ trợ truy cập nhanh hơn cho người dùng quản lý nhiều tài khoản doanh nghiệp.
Một tiện ích mở rộng khác là Tool Access 11, tự định vị mình là một tiện ích bổ sung tập trung vào bảo mật, có khả năng hạn chế quyền truy cập vào các tính năng quản trị nhạy cảm. Thông tin mô tả sản phẩm cho biết tiện ích này có thể hạn chế tương tác của người dùng với “các công cụ đặc biệt” để ngăn chặn việc xâm phạm tài khoản.
Các tiện ích mở rộng khác trong nhóm cũng sử dụng ngôn ngữ tương tự về việc cung cấp “quyền truy cập” vào các công cụ và dịch vụ, yêu cầu các quyền dường như phù hợp với việc tích hợp doanh nghiệp.
Tuy nhiên, Socket cho biết không có tiện ích nào tiết lộ việc trích xuất cookie, đánh cắp thông tin đăng nhập hoặc chặn các trang quản trị bảo mật. Chính sách bảo mật của các tiện ích mở rộng này cũng không đề cập đến việc thu thập dữ liệu người dùng. Phân tích của Socket cho thấy chúng sử dụng kết hợp các hành vi độc hại, bao gồm đánh cắp cookie xác thực, chặn trang quản trị và chiếm đoạt phiên thông qua việc chèn cookie.
Phân tích cho thấy, nhiều tiện ích mở rộng liên tục trích xuất các cookie xác thực có tên “__session” cho một tên miền mục tiêu, chứa các token đăng nhập đang hoạt động cho Workday, NetSuite và SuccessFactors.
.png)
Đánh cắp cookie “__session”
Các token này bị đánh cắp mỗi 60 giây một lần đến các máy chủ điều khiển điều khiển và ra lệnh (C2) của tin tặc, cho phép kẻ tấn công duy trì quyền truy cập ngay cả khi người dùng đăng xuất và đăng nhập lại.
Hai tiện ích mở rộng Tool Access 11 và Data By Cloud 2, đã chặn quyền truy cập vào các trang bảo mật và phản hồi sự cố trong Workday. Bằng cách phát hiện tiêu đề trang, các tiện ích này đã xóa nội dung trên các trang hoặc chuyển hướng quản trị viên khỏi các trang quản trị.
Socket giải thích: “Tool Access 11 nhắm đến 44 trang quản trị bao gồm các chính sách xác thực, cấu hình proxy bảo mật, quản lý phạm vi IP và kiểm soát phiên. Trong khi Data By Cloud 2 mở rộng tính năng này lên 56 trang bằng cách bổ sung quản lý mật khẩu, vô hiệu hóa tài khoản, kiểm soát thiết bị xác thực hai yếu tố (2FA) và nhật ký kiểm tra bảo mật”.
Việc chặn truy cập vào các trang này có thể ngăn cản các quản trị viên hợp pháp phản hồi các sự cố bảo mật nếu chúng được phát hiện.
Công cụ Access 11 chặn quyền truy cập vào các trang quản lý bảo mật
Cuối cùng, Socket cho biết tiện ích Software Access thực hiện hành vi độc hại nhất. Ngoài việc đánh cắp phiên token, tiện ích này có thể nhận cookie bị đánh cắp từ máy chủ của kẻ tấn công và chèn chúng trực tiếp vào trình duyệt.
Theo các nhà nghiên cứu, thông qua thiết lập cookie xác thực thông qua máy chủ C2, kẻ tấn công có thể chiếm quyền kiểm soát các phiên đăng nhập đã được xác thực mà không cần nhập tên người dùng, mật khẩu hoặc mã xác thực đa yếu tố. Socket thông tin, điều này cho phép chiếm đoạt tài khoản ngay lập tức trên các nền tảng doanh nghiệp mục tiêu.
Socket đã báo cáo các tiện ích mở rộng này cho Google, đến thời hiện tại dường như chúng đã được gỡ bỏ trên cửa hàng trực tuyến. Bất kỳ người dùng nào đang sử dụng các tiện ích độc hại trên nên báo cáo cho quản trị viên bảo mật của mình để được xử lý sự cố và thay đổi mật khẩu trên các nền tảng bị ảnh hưởng.
