Beş koordineli kötü amaçlı Chrome uzantısı, dünya çapında binlerce kuruluş tarafından yaygın olarak kullanılan insan kaynaklarını ve finansal platformları hedef alarak kurumsal güvenliğe yönelik karmaşık bir tehdit olarak ortaya çıktı.
Bu uzantılar, kimlik doğrulama belirteçlerini çalmak, güvenlik kontrollerini devre dışı bırakmak ve oturumun ele geçirilmesi yoluyla hesabın tamamen ele geçirilmesini sağlamak için uyum içinde çalışır.
Kampanya, insan kaynakları departmanlarının ve finans ekiplerinin hassas çalışan ve şirket verilerini yönettiği kritik sistemler olan Workday, NetSuite ve SuccessFactors’ı etkiliyor.
Tehdit aktörleri databycloud1104 adı altında dört uzantı yayınlarken, beşinci uzantı ise yazılım erişimi adı verilen farklı bir marka adı altında faaliyet gösteriyor ancak aynı altyapı modellerini ve saldırı mekanizmalarını paylaşıyor.
Bu uzantılar bir araya getirildiğinde kurumsal ortamlarda 2.300’den fazla kullanıcıya ulaştı.
Koordineli dağıtım, her bir uzantının standart güvenlik savunmalarını alt etmek üzere tasarlanmış kapsamlı bir saldırı stratejisinde belirli bir role hizmet ettiği dikkatli bir planlamayı ortaya koyuyor.
Socket.dev analistleri, yanıltıcı pazarlama iddialarına rağmen gizli kötü amaçlı işlevleri ortaya çıkaran kod analizi yoluyla bu uzantıları belirledi.
Araştırma ekibi, bu uzantıların kendilerini birden fazla hesaba erişimi kolaylaştıran meşru üretkenlik araçları olarak pazarladığını, gerçekte ise kimlik bilgilerini çaldığını ve güvenlik ekiplerinin saldırılara yanıt vermesini engellediğini keşfetti.
En tehlikeli özellik, Yazılım Erişimi uzantısı tarafından uygulanan çift yönlü çerez eklemeyi içerir.
Bu teknik, tehdit aktörlerinin çalıntı kimlik doğrulama çerezlerini doğrudan kendi tarayıcılarına yerleştirmesine olanak tanıyarak kurban hesaplarına parola gerektirmeden veya çok faktörlü kimlik doğrulama korumalarını atlamadan anında erişim sağlar.
Diğer uzantılar, oturum belirteçlerini her 60 saniyede bir sürekli olarak çıkararak, normal iş operasyonları sırasında kullanıcılar oturumu kapatıp tekrar açtığında bile saldırganların mevcut kimlik bilgilerini korumasını sağlar.
İdari Engelleme Yoluyla Enfeksiyon Mekanizması ve Kalıcılık
Bu uzantılar, olaya müdahaleyi önlemek için kimlik bilgisi hırsızlığını hedeflenen idari arayüz engellemeyle birleştiren karmaşık bir enfeksiyon mekanizması kullanır.
![Databycloud[.]com alan adı 404 Bulunamadı hatası gösteriyor (Kaynak - Socket.dev)](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjorLe4N2CWUkZVhkvgH0paIhf407GjzJMu-RdnzRMw7A4dLxQmC3UzzuI1pS3IRzlwxBceM1O4oWQO3QO3lTMK5tfbyBaKwMVwDCL5Kcq9V_vYIUexj9zbTTlWxcebyuLbGZVhuBP6lRR_vdY42VNyOHo-x0yq3jEoKZq1pqfRllKWTKUc2Eu4GF8es_k/s16000/The%20databycloud%5B.%5Dcom%20domain%20shows%20a%20404%20Not%20Found%20error%20(Source%20-%20Socket.dev).webp)
Saldırı, uzantıların sürekli olarak sayfa içeriğini izlediği ve kullanıcılar bunlara erişmeye çalıştığında güvenlik yönetimi sayfalarını anında sildiği DOM manipülasyonu yoluyla çalışıyor.
Araç Erişimi 11, Workday içindeki 44 yönetim sayfasını engellerken Data By Cloud 2, parola değişiklikleri, hesap devre dışı bırakma, çok faktörlü kimlik doğrulama cihaz yönetimi ve güvenlik denetim günlükleri gibi kritik işlevler dahil olmak üzere bu sayıyı 56 sayfaya genişletir.
![Yazılım erişimi[.]com alanı SSL el sıkışma hatası döndürüyor (Kaynak - Socket.dev)](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhuUE_oU1ADnlmKh-uv0XyJogudRAsSy6F780bWvVj5gBwhphaFWzpcM9Uy0DNlJ3v3BmKVa-oHzZKcfWJnPLiiyQr7RDZ_viLeaNP9JMXmdKiIXPEoUg5uLlz01jbMB7MTi_APZpQcywpx_zFfWxLi99TOPnovYVsx5cQczGhAofN09EJ-vy9Ys7G_T6k/s16000/The%20software-access%5B.%5Dcom%20domain%20returns%20an%20SSL%20handshake%20error%20(Source%20-%20Socket.dev).webp)
Engelleme mekanizması, sayfayı her 50 milisaniyede bir kontrol eden MutationObserver işlevlerini kullanarak sürekli izleme yoluyla çalışır.
Yöneticiler şifreyi sıfırlamaya veya güvenliği ihlal edilmiş hesapları devre dışı bırakmaya çalıştığında, uzantılar sayfa içeriğinin tamamını boş alanla değiştirir ve kullanıcıları hatalı biçimlendirilmiş URL’lere yönlendirir.
Bu, güvenlik ekiplerinin yetkisiz erişimi tespit edebildiği ancak standart iyileştirme prosedürlerini uygulayamadığı bir sınırlama hatası senaryosu oluşturarak kuruluşları ya kalıcı yetkisiz erişime izin vermeye ya da etkilenen kullanıcıları tamamen yeni hesaplara taşımaya zorlar.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
