Siber güvenlik araştırmacıları, kurban hesaplarının kontrolünü ele geçirmek için Workday, NetSuite ve SuccessFactors gibi insan kaynakları (İK) ve kurumsal kaynak planlama (ERP) platformları gibi görünen beş yeni kötü amaçlı Google Chrome web tarayıcı uzantısı keşfetti.
Soket güvenlik araştırmacısı Kush Pandya Perşembe günü yayınlanan bir raporda, “Uzantılar, kimlik doğrulama belirteçlerini çalmak, olaya müdahale yeteneklerini engellemek ve oturumun ele geçirilmesi yoluyla hesabın tamamen ele geçirilmesini sağlamak için uyum içinde çalışıyor.” dedi.
Uzantıların adları aşağıda listelenmiştir –
- DataByCloud Erişimi (ID: oldhjammhkghhahhhdcifmmlefibciph, Yayınlayan: databycloud1104) – 251 Yükleme
- Araç Erişimi 11 (ID: ijapakghdgckgblfgjobhcfglebbkebf, Yayınlayan: databycloud1104) – 101 Yükleme
- DataByCloud 1 (ID: mbjjeombjeklkbndcjgmfcdhfbjngcam, Yayınlayan: databycloud1104) – 1.000 Yükleme
- DataByCloud 2 (ID: makdmacamkifdldldlelollkkjnoiedg, Yayınlayan: databycloud1104) – 1.000 Yükleme
- Yazılım Erişimi (ID: bmodapcihjhklpogdpblefpepjolaoij, Yayımlayan: Software Access) – 27 Yükleme
Yazılım Erişimi hariç tümü, yazının yazıldığı an itibarıyla Chrome Web Mağazası’ndan kaldırılmıştır. Bununla birlikte, bunlar Softonic gibi üçüncü taraf yazılım indirme sitelerinde hâlâ mevcuttur. Eklentiler, Workday, NetSuite ve diğer platformlar dahil olmak üzere farklı platformlar için premium araçlara erişim sunan üretkenlik araçları olarak tanıtılıyor. Uzantılardan ikisi olan DataByCloud 1 ve DataByCloud 2, ilk olarak 18 Ağustos 2021’de yayınlandı.
Kampanya, iki farklı yayıncının kullanılmasına rağmen, aynı işlevsellik ve altyapı modellerine dayanan koordineli bir operasyon olarak değerlendiriliyor. Bu özellikle saldırganların kontrolü altındaki uzak bir sunucuya çerezlerin sızdırılmasını, güvenlik yönetimi sayfalarını engellemek için Belge Nesne Modeli (DOM) ağacının manipüle edilmesini ve çerez enjeksiyonu yoluyla oturumun ele geçirilmesini kolaylaştırmayı içerir.
DataByCloud Access kurulduktan sonra Workday, NetSuite ve SuccessFactors etki alanlarında çerezler, yönetim, komut dosyası oluşturma, depolama ve declarativeNetRequest için izinler ister. Ayrıca belirli bir alan adı için kimlik doğrulama çerezlerini toplar ve bunları “api.databycloud”a iletir.[.]com” alan adını her 60 saniyede bir değiştirirsiniz.
Pandya, “Tool Access 11 (v1.4), sayfa içeriğini silerek ve hatalı biçimlendirilmiş URL’lere yeniden yönlendirerek Workday içindeki 44 yönetim sayfasına erişimi engelliyor” diye açıkladı. “Bu uzantı kimlik doğrulama yönetimini, güvenlik proxy yapılandırmasını, IP aralığı yönetimini ve oturum kontrol arayüzlerini engeller.”
Bu, uzantının sürekli olarak izlenen sayfa başlıklarının bir listesini tutmasıyla DOM manipülasyonu ile gerçekleştirilir. Data By Cloud 2, engelleme özelliğini 56 sayfaya çıkararak parola değişiklikleri, hesap devre dışı bırakma, 2FA cihaz yönetimi ve güvenlik denetim günlüğüne erişim gibi önemli işlevler ekler. “workdaysuv”da hem üretim ortamlarını hem de Workday’in sanal alan test ortamını hedeflemek üzere tasarlanmıştır.[.]com.”
Buna karşılık Data By Cloud 1, DataByCloud Access’in çerez çalma işlevini kopyalarken aynı zamanda açık kaynak DisableDevtool kitaplığını kullanan web tarayıcısı geliştirici araçlarını kullanarak kod incelemesini önleyen özellikleri de bünyesinde barındırır. Her iki uzantı da komut ve kontrol (C2) trafiğini şifreler.
Grubun en gelişmiş uzantısı, çerez hırsızlığını “api.software-access” adresinden çalınan çerezleri alma yeteneği ile birleştiren Yazılım Erişimidir.[.]com” adresini bulun ve doğrudan oturumun ele geçirilmesini kolaylaştırmak için bunları tarayıcıya enjekte edin. Ayrıca, kullanıcıların kimlik bilgisi girişlerini incelemesini önlemek için şifre giriş alanı korumasıyla donatılmıştır.
Socket, “İşlev, çerezleri sunucu yükünden ayrıştırıyor, hedef etki alanı için mevcut çerezleri kaldırıyor, ardından sağlanan çerez dizisini yineliyor ve her birini chrome.cookies.set() kullanarak enjekte ediyor” dedi. “Bu, kurbanın kimlik doğrulama durumunu doğrudan tehdit aktörünün tarayıcı oturumuna yükler.”
Beş uzantının tümünü birbirine bağlayan dikkate değer bir özellik, bunların, tehdit aktörüne karşı varlıklarını izlemek ve işaretlemek için tasarlanmış EditThisCookie, Cookie-Editor, ModHeader, Redux DevTools ve SessionBox gibi güvenlikle ilgili 23 Chrome uzantısından oluşan özdeş bir listeye sahip olmalarıdır.
Socket, bunun muhtemelen web tarayıcısının çerez toplama hedeflerine müdahale edebilecek veya uzantının davranışını ortaya çıkarabilecek herhangi bir araca sahip olup olmadığını değerlendirme girişimi olduğunu söyledi. Dahası, beş uzantının tamamında benzer bir uzantı kimliği listesinin varlığı iki olasılığı gündeme getiriyor: ya bu, bunları farklı yayıncılar altında yayınlayan aynı tehdit aktörünün işi ya da ortak bir araç seti.
Yukarıda belirtilen eklentilerden herhangi birini yükleyen Chrome kullanıcılarının, bunları tarayıcılarından kaldırmaları, şifre sıfırlamaları yapmaları ve tanımadıkları IP adresleri veya cihazlardan gelen yetkisiz erişim işaretlerini incelemeleri önerilir.
Socket, “Sürekli kimlik bilgisi hırsızlığı, yönetim arayüzü engelleme ve oturumun ele geçirilmesinin birleşimi, güvenlik ekiplerinin yetkisiz erişimi tespit edebildiği ancak normal kanallar aracılığıyla durumu düzeltemediği bir senaryo yaratıyor” dedi.