Socket’in Tehdit Araştırma Ekibi, Workday, NetSuite ve SAP SuccessFactors dahil olmak üzere kurumsal İK ve ERP platformlarını hedefleyen koordineli bir Chrome uzantı kampanyasını ortaya çıkardı.
Toplu olarak 2.300’den fazla kez yüklenen beş kötü amaçlı uzantı, oturum belirteçlerini çalmak, güvenlik kontrollerini engellemek ve oturumun ele geçirilmesi yoluyla hesabın tamamen ele geçirilmesini sağlamak için birlikte çalışır.
Uzantılardan dördü databycloud1104 geliştirici adı altında yayınlanıyor. Aynı zamanda, Yazılım Erişimi markalı beşincisi farklı adlandırma kullanıyor ancak aynı altyapıyı, kod kalıplarını ve hedef platformları paylaşıyor.
Üretkenlik ve erişim kontrol araçları gibi görünse de, beş uzantının tümü gizli kimlik bilgisi hırsızlığı ve olaylara müdahale müdahalesi uygular.
Uzantılar, “premium” kurumsal araçlara erişimi kolaylaştıracak ve birden fazla İK/ERP hesabını yönetecek araçlar olarak pazarlanıyor.
DataByCloud 2 listeleri, birden fazla Workday veya NetSuite hesabını yönetmenin meşru bir yolunu öneren, hesap kartları, dolar tutarları ve “ERİŞİM ARACI” düğmelerini içeren gösterişli bir kontrol panelini gösterir.
Araç Erişimi 11 gibi diğer uzantılar, “özel araçlara erişimi kısıtladığını” ve kullanıcıların “hesapları tehlikeye atabilecek yönetim özelliklerine” ulaşmasını engellediğini ve kendilerini tehdit yerine güvenlik artırıcı olarak konumlandırdığını iddia ediyor.
Bu iddiaların arkasında, uzantıların kurumsal platformlara bağlanmak için görünüşte standart izinler talep etmesi ve gizlilik politikalarının “verilerinizi toplamayacakları veya kullanmayacakları” gibi yanlış bir beyanda bulunması yer alıyor.
Gerçekte analiz, agresif çerez çıkarımını, açıklanmayan ağ sızmasını ve güvenlik ve olay müdahale sayfalarının hedefli olarak engellenmesini ortaya koyuyor.
Üç Uçlu Saldırı Zinciri
Socket’in analizi, kampanyanın beş uzantıdaki üç koordineli saldırı türüne dayandığını gösteriyor:
1.Çerez Süzülmesi ve Kalıcı Oturum İzleme
DataByCloud Erişimi, Data By Cloud 1 ve Yazılım Erişimi, Workday, NetSuite ve SuccessFactors için kimlik doğrulama belirteçlerini tutan __session çerezlerini çıkarır.
Uzantılar, hedeflenen alan adları için tüm çerezleri çeker, __session için filtreler, değerin kodunu çözer ve API’deki saldırgan tarafından kontrol edilen API’lere gönderir. veri bulutu[.]com veya api.software-access[.]Her 60 saniyede bir.
Çerez değiştirme dinleyicileri ve Chrome alarmlarının birleşimi, kullanıcılar çıkış yapıp tekrar giriş yapsa bile sürekli olarak yeni jetonların toplanmasını sağlar.
2.Yönetim Sayfasını Engelleme ve IR Engelleme
Tool Access 11 ve Data By Cloud 2, Workday’deki kritik yönetim ve güvenlik sayfalarına erişimi engellemek için DOM’u yönetir.
XPath aracılığıyla belirli sayfa başlıklarını tespit edip document.body.innerHTML’yi hemen silerek ve ardından kullanıcıları hatalı biçimlendirilmiş URL’lere yönlendirerek kimlik doğrulama politikalarına, oturum kontrollerine, şifre değişikliklerine, hesap devre dışı bırakmaya, MFA cihaz yönetimine ve güvenlik denetim günlüklerine erişimi engellerler.
Sıkı bir MutationObserver döngüsü ve periyodik sayfa yeniden yüklemeleri, Workday’in korumalı alan ortamı da dahil olmak üzere dinamik içerik ve uzun oturumlarda engellemenin devam etmesini sağlar.
3.Çift Yönlü Çerez Ekleme ve Oturum Ele Geçirme
Yazılım Erişimi hırsızlığın ötesine geçerek hesabın doğrudan ele geçirilmesine olanak sağlar. Uzantı, C2 sunucusundan çalınan çerezleri aldıktan sonra bunları ayrıştırır ve bunları saldırganın tarayıcısına yerleştirmek için chrome.cookies.set() yöntemini kullanır.
Bu, tehdit aktörlerinin şifreler veya MFA sorgulamaları olmadan bir kurbanın kimliği doğrulanmış oturumunu üstlenmesine olanak tanır ve tarayıcıyı kurumsal İK ve ERP hesap erişimi için anahtar teslim bir konsola dönüştürür.
Uzantılar aynı oturum çıkarma mantığını, güvenlik aracı algılama listelerini ve API yollarını (/api/v1/mv3) paylaşıyor; bu da ilgisiz yayıncılar yerine modüler bir araç seti çalıştıran tek bir operatörün güçlü bir şekilde işaret ettiğini gösteriyor.
İki değişken, geliştirici araçlarını algılamak ve bozmak için DisableDevtool kitaplığını bir araya getirirken Yazılım Erişimi, denetim sırasında parola alanlarının düz metne dönüştürülmesini önleyen mantık ekleyerek güvenlik analizini doğrudan engeller.
Kurumsal markalarına rağmen, ilgili alanlar klasik tek kullanımlık altyapı modellerini göstermektedir.
![Yazılım erişimi[.]com alan adı, alanda hiçbir işlevsel web hizmetinin barındırılmadığını belirten bir SSL el sıkışma hatası döndürüyor.](https://cdn.sanity.io/images/cgdhsj6q/production/d445f3153d7fd2882e1f0e240a64171bbc7b733c-2048x1282.png?w=1600&q=95&fit=max&auto=format)
Kök etki alanları databycloud[.]com ve yazılım erişimi[.]com, komut ve kontrol trafiği için yalnızca API alt alan adlarının canlı tutulmasıyla ya 404 hataları ya da SSL el sıkışma hataları döndürür. Vaat edilen “premium araçları” destekleyen hiçbir meşru ürün, belge veya destek varlığı yoktur.
Kurumsal Etki ve Mevcut Durum
Socket, Google’ın Chrome Web Mağazası güvenlik ekibine yayından kaldırma isteklerini gönderdi ve kuruluşların, ortamlar genelindeki Chrome uzantılarını derhal denetlemesini, bu ailelerle eşleşenleri kaldırmasını, ilgili komut ve kontrol alanlarını engellemesini ve etkilenen kimlik bilgilerini temiz, güvenliği ihlal edilmemiş sistemlerden sıfırlamasını tavsiye ediyor.
Şifreleri değiştirme, hesapları devre dışı bırakma, güvenlik politikalarını ayarlama veya oturum açma geçmişini inceleme girişimleri tarayıcıda sessizce etkisiz hale getirilir.
Beş uzantının tümü, bu yazının yazıldığı sırada soruşturma altında bulunuyor.
Sürekli çerez hırsızlığını, olay müdahale engellemeyi ve otomatik oturum ele geçirmeyi birleştiren bu uzantı kümesi, güvenlik ekiplerinin şüpheli erişimi tespit edebildiği ancak normal kontrollerle sorunu gideremediği bir senaryo oluşturur.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.