Browser-ul nu mai e de mult doar o aplicație, ci un nou sistem de operare în mediul enterprise. În febra „productivity tools” și „security managers”, tocmai extensiile menite să controleze accesul s-au transformat în cai troieni perfect camuflați.

O campanie recent descoperită implică cinci extensii Chrome, unele pretinzând că sunt „access managers”. În realitate, acestea funcționau ca un grup coordonat de sabotori: fură cookie-uri, blochează panouri administrative, și împiedică echipele de securitate să vadă ce se întâmplă.

Principalul obiectiv este furtul tokenurilor de autentificare, stocate în cookie-urile de sesiune, pe care apoi le trimit periodic la serverele controlate de atacatori. Aceste tokenuri oferă acces persistent la conturile vizate fără a necesita reintroducerea parolelor.

Câteva dintre extensii extrăgeau cookie-urile „__session” care includ token-uri de autentificare ale angajaților pentru platformele enterprise Workday, NetSuite, or SuccessFactors, conform experților de la compania de securitate cibernetică Socket.dev.

Pe lângă exfiltrarea de cookie-uri, unele extensii manipulează Document Object Model (DOM) al paginilor vizitate pentru a ascunde sau bloca interfețele de administrare și control de securitate ale platformelor compromise.

Aceasta include blocarea accesului la pagini de administrare a parolelor, autentificărilor multifactor (MFA) sau pentru revocarea sesiunilor compromise, ceea ce poate împiedica echipele IT să răspundă prompt unui incident de securitate.

Unul dintre exemple, Tool Access 11, o extensie care promite restricționarea accesului la opțiuni administrative pentru prevenirea compromiterii conturilor, de fapt blochează intenționat pagini de management pentru a face mai dificilă activitatea de incident response.

O altă extensie malițioasă, Data By Cloud 2, blochează accesul la pagini de configurare a securității precum administrarea parolelor, dezactivarea conturilor, loguri de audit, și controlul asupra protecției multifactor (2FA) pe dispozitive.

Toate extensiile par inițial să ofere funcționalități legitime pentru utilizatorii de platforme de resurse umane (HR) și planificare a resurselor întreprinderii (ERP) precum Workday, NetSuite și SuccessFactors, dar conțin cod malițios ascuns.

Un alt mecanism mai avansat identificat în urma analizei Socket.dev este „injectarea bidirecțională” a cookie-urilor. În acest scenariu, extensia nu doar fură cookie-urile, ci sunt și reintroduce în timp real în sesiunile de navigare ale atacatorilor, permițând preluarea directă a sesiunilor de autentificare fără ca utilizatorul legitim să fie nevoit să se autentifice din nou.

Chiar dacă victima își resetează parola, extensiile au grijă ca atacatorul să nu fie „dat afară” prin exfiltrarea cookie-urilor la fiecare 60 de secunde. Practic, orice resetare de parolă de pe un browser compromis e inutilă – o formă de “shadow persistence” care garantează că atacatorul se reconectează automat.

Extensiile erau distribuite ca instrumente ce „simplifică” accesul sau gestionează conturi multiple, dar, odată instalate, activează componente care exfiltrează date critice.

Patru dintre ele au fost publicate sub numele databycloud1104, iar a cincea sub eticheta softwareaccess. Structurile de cod, listele de detectare și tiparele de comunicație sugerează că toate fac parte dintr-o operațiune coordonată, deși apar ca entități separate.

Toate cele cinci extensii aveau un număr modest de instalări (circa 2.300 conform raportului inițial), dar riscul asociat este semnificativ, în special în mediile corporative unde accesul la sistemele interne poate permite furtul de date sensibile sau perturbarea operațiunilor.

Socket.dev a notificat echipa de securitate a Chrome Web Store și au cerut eliminarea acestor componente malițioase din magazin.

Experții recomandă în principal blocarea extensiilor neautorizate, auditarea agresivă a celor deja instalate și tratarea browserului ca un endpoint critic, nu ca un simplu client.

În mediul enterprise protecția împotriva extensiilor neautorizate se poate face prin activarea unei politici care să blocheze instalare de add-ons din afara unei liste aprobate.

​În cazul depistării unei extensii malițioase, pe lângă dezinstalare se recomandă și scanarea endpoint-urilor pentru instanțe rămase sau versiuni sideloaded, precum și resetarea parolelor și regenerarea token-urilor pentru conturile Workday, NetSuite, SuccessFactors și alte platforme HR/ERP folosite de utilizatorii afectați.