Pesquisadores da Socket.dev descobriram recentemente uma série de extensões maliciosas do Chrome que estão sendo utilizadas para executar ataques sofisticados contra ambientes corporativos. O mais impressionante é que essas extensões se passam por soluções de produtividade para plataformas empresariais renomadas, como Workday, NetSuite e SuccessFactors, mas na verdade têm como objetivo roubar tokens de autenticação, bloquear respostas a incidentes e até mesmo permitir o sequestro completo de contas.

Armadas e Perigosas: As Extensões Maliciosas em Ação

As extensões, que foram publicadas sob os nomes “databycloud1104” e “softwareaccess”, conseguiram atingir mais de 2.300 usuários em empresas ao redor do mundo. O que torna essas extensões ainda mais perigosas é o fato de que elas utilizam descrições convincentes para atrair vítimas desavisadas.

Por exemplo, a DataByCloud 2 promete “ferramentas premium” para Workday e NetSuite, enquanto a Tool Access 11 se vende como um recurso de segurança que ajuda a restringir o acesso a ferramentas especiais. No entanto, por trás dessas descrições aparentemente legítimas, as extensões estão roubando cookies de autenticação e bloqueando o acesso a interfaces administrativas essenciais.

Uma Campanha Coordenada e Sinistra

O mais alarmante é que essas extensões não agem de forma isolada. Na verdade, elas trabalham em conjunto para executar ataques coordenados em várias frentes. Enquanto algumas extensões são responsáveis por roubar cookies de autenticação, outras bloqueiam o acesso a interfaces críticas de segurança e até mesmo impedem equipes de resposta a incidentes de agirem de forma eficaz.

Além disso, uma das extensões mais sofisticadas, a Software Access, vai além ao combinar o roubo de cookies com a manipulação bidirecional. Isso significa que os atacantes conseguem injetar cookies roubados diretamente no navegador da vítima, eliminando completamente os requisitos de autenticação e permitindo o acesso sem autenticação multifator.

Uma Infraestrutura Descartável e Evidências de Coordenação

A análise dessas extensões revela não apenas um alto nível de sofisticação, mas também uma clara evidência de coordenação entre os desenvolvedores. Todas as extensões compartilham assinaturas idênticas, monitoram as mesmas ferramentas de segurança do Chrome e utilizam uma arquitetura backend comum.

Além disso, a escolha das plataformas corporativas como alvo não é aleatória. Workday, NetSuite e SuccessFactors gerenciam dados sensíveis de grandes empresas, o que torna essas extensões ainda mais perigosas.

Conclusão

Essas extensões maliciosas representam uma ameaça significativa para ambientes corporativos em todo o mundo. É crucial que as empresas estejam cientes desses ataques coordenados e adotem medidas proativas para proteger seus dados e sistemas. Fique ligado no InnovaGeek para mais atualizações sobre segurança e tecnologia.