最近,有网络安全研究人员发现了五款新的恶意谷歌Chrome浏览器扩展程序。它们将自己伪装成Workday、NetSuite和SuccessFactors等知名人力资源(HR)与企业资源规划(ERP)平台的生产力工具,其真实目的却是劫持并完全控制受害者的账户。
根据安全公司Socket的研究员Kush Pandya在周四发布的报告,这些扩展并非孤立存在,而是协同运作。“这些扩展程序协同工作,窃取身份验证令牌,阻止事件响应能力,并通过会话劫持实现账户的完全接管,” Pandya指出。
这五个恶意扩展的具体名称、ID及安装量如下:
- DataByCloud Access (ID:oldhjammhkghhahhhdcifmmlefibciph, 发布者:databycloud1104) - 251 次安装
- 工具访问 11 (Tool Access 11) (ID:ijapakghdgckgblfgjobhcfglebbkebf, 发布者:databycloud1104) - 101 次安装
- DataByCloud 1 (ID:mbjjeombjeklkbndcjgmfcdhfbjngcam, 发布者:databycloud1104) - 1,000 次安装
- DataByCloud 2 (ID:makdmacamkifdldldlelollkkjnoiedg, 发布者:databycloud1104) - 1,000 次安装
- Software Access (ID:bmodapcihjhklpogdpblefpepjolaoij, 发布者:Software Access) - 27 次安装
截至报告发布时,除了“Software Access”,其余四个扩展已被从官方的Chrome网上应用店下架。然而,它们仍然可能出现在Softonic等第三方软件下载网站上。这些扩展声称能提供对Workday、NetSuite等平台高级功能的便捷访问。值得注意的是,“DataByCloud 1”和“DataByCloud 2”早在2021年8月18日就已首次发布。
尽管此次攻击活动中使用了两个不同的发布商(databycloud1104和Software Access),但分析发现其功能逻辑和基础设施模式完全一致,属于同一协同行动。攻击链条主要包括:将身份验证Cookie泄露到攻击者控制的服务器、通过操纵页面DOM树来阻止用户访问安全管理界面,以及通过Cookie注入直接进行会话劫持。
具体来说,当用户安装“DataByCloud Access”后,它会请求对Workday、NetSuite和SuccessFactors等目标域的广泛权限,包括Cookie、脚本和网络请求管理。随后,它开始收集指定域的身份验证Cookie,并每隔60秒就将这些敏感数据发送到攻击者的命令与控制(C2)服务器“api.databycloud[.]com”。
另一款扩展“Tool Access 11”则扮演了“守卫”的角色。它会持续监控页面标题,一旦发现用户试图访问Workday平台中44个关键的安全管理页面(如身份验证管理、IP范围配置、会话控制等),就会立即擦除页面内容并重定向到一个错误的URL,从而有效阻止安全团队进行事件响应和补救操作。
“DataByCloud 2”将这个页面阻止功能扩展到了56个页面,并额外增加了对密码更改、账户停用、双因素认证设备管理以及安全审计日志访问等关键功能的封锁。它的设计甚至考虑到了Workday的沙盒测试环境(workdaysuv[.]com)。
而“DataByCloud 1”在复制了Cookie窃取功能的同时,还集成了开源DisableDevtool库,用于阻止用户通过浏览器的开发者工具来检查其恶意代码。这两款扩展的C2通信流量均经过加密,以规避检测。
其中最复杂的当属“Software Access”。它不仅能窃取Cookie,还能从服务器“api.software-access[.]com”接收窃取的Cookie数据,并直接将其注入到浏览器中,实现即时会话劫持。这意味着攻击者无需拿到原始账号密码,就能直接以受害者身份登录。Socket解释说:“该函数会解析服务器有效载荷中的cookie,移除目标域的现有cookie,然后遍历提供的cookie数组,并使用chrome.cookies.set()注入每个cookie。这会将受害者的身份验证状态直接安装到攻击者的浏览器会话中。”此外,该扩展还具备密码输入字段保护功能,目的是防止用户查看自己输入的凭据,进一步掩盖攻击痕迹。
这五个扩展还有一个显著的共同点:它们都包含一个完全相同的列表,其中列举了23个与安全、开发相关的Chrome扩展,如EditThisCookie、Cookie-Editor、ModHeader、Redux DevTools和SessionBox。这一设计很可能是用于监测受害者的浏览器环境,如果发现安装了这些可能干扰其Cookie窃取操作或暴露其行为的工具,就会向攻击者发出警报。
安全研究人员建议,任何安装了上述扩展的用户应立即将其从浏览器中彻底移除,随后重置相关账户的密码,并仔细检查账户活动日志,排查是否有来自陌生IP地址或设备的未经授权的访问迹象。
正如Socket所总结的:“持续的凭证盗窃、管理接口封锁和会话劫持相结合,造成了一种安全团队可以检测到未经授权的访问,但无法通过正常渠道进行补救的困境。”这种多层次、协作化的攻击手段,对依赖SaaS平台的企业安全构成了严重威胁。 | 
发表于 2026-2-12 00:29:23
|
查看: 26|
回复: 0
