Des extensions Chrome malveillantes se faisant passer pour des outils de productivité ont été découvertes en train de voler des jetons de session, de bloquer les contrôles de sécurité et de permettre le piratage de comptes sur les plateformes RH et ERP d’entreprise les plus populaires.
Une campagne coordonnée de modules complémentaires de navigateur malveillants a contourné les défenses du Chrome Web Store, militarisant les extensions présentées comme des outils de productivité pour voler des jetons de session d’entreprise et tenter de prendre le contrôle complet du compte.
« Les extensions fonctionnent de concert pour voler des jetons d’authentification, bloquer les capacités de réponse aux incidents et permettre le contrôle complet des comptes via le détournement de session », ont écrit les chercheurs dans un article de blog, révélant une campagne ciblant les plateformes RH et ERP largement utilisées.
La menace, découverte par l’équipe de recherche sur les menaces de Socket.dev, est une intrusion multi-vecteurs dans l’entreprise qui combine le vol furtif d’informations d’identification avec une interférence active dans les contrôles de sécurité. Les acteurs à l’origine de ce cluster ont publié cinq extensions Chrome qui, malgré une image de marque professionnelle et des cas d’utilisation apparemment légitimes, exécutent des comportements malveillants au plus profond des flux de travail de l’entreprise.
Le nombre d’installations suggère que plus de 2 300 utilisateurs ont été amenés à déployer ces outils avant que les chercheurs n’alertent les équipes de sécurité de Google et ne déposent des demandes de retrait. Les extensions ciblent des systèmes tels que Workday, NetSuite et SuccessFactors, où une seule session détournée peut exposer les dossiers des employés, les données financières et les flux de travail internes.
Outils de productivité déguisés avec des codes malveillants
Chaque extension du cluster se présente comme un outil d’amélioration de la productivité ou d’assistance à la sécurité pour les utilisateurs de l’entreprise. Les listes présentaient des tableaux de bord raffinés et des promesses d’accès simplifié aux outils RH ou ERP. Les autorisations demandées étaient des fonctions « standard », apparemment inoffensives, telles que l’accès aux cookies ou la modification de pages.
Cependant, une fois installées, trois des extensions, dont DataByCloud Access, Data By Cloud 1 et une variante simplement appelée Software Access, ont exfiltré les cookies de session contenant des jetons d’authentification vers une infrastructure contrôlée par les attaquants. Ces jetons sont, dans de nombreux systèmes d’entreprise, suffisants pour authentifier un utilisateur sans mot de passe. Dans certains cas, ces cookies étaient extraits toutes les 60 secondes pour garantir des informations d’identification à jour.
Les sessions compromises peuvent servir de mots de passe volés, car les sessions ont déjà traversé des écrans de connexion et des contrôles multifactoriels pour permettre un accès direct à un compte sans déclencher d’alertes de sécurité typiques.
Blocage des défenses et détournement de sessions
La campagne est allée au-delà du vol d’informations d’identification. Deux des extensions, Tool Access 11 et Data By Cloud 2, incorporaient des routines de manipulation DOM qui bloquaient activement l’accès aux pages de sécurité et d’administration des plates-formes ciblées. Cela empêchait les administrateurs de l’entreprise d’accéder aux écrans pour modifier les mots de passe, afficher l’historique des connexions ou désactiver les comptes compromis, même s’ils détectaient un comportement suspect.
Le plus avancé des cinq, Software Access, proposait (en plus du vol de cookies) une injection bidirectionnelle de cookies où les jetons de session volés étaient réintroduits dans un navigateur contrôlé par l’attaquant. À l’aide d’API telles que « chrome.cookies.set() », cette fonctionnalité implante directement des cookies d’authentification valides et accorde aux acteurs malveillants une session authentifiée sans aucune autre action de la part d’utilisateurs sans méfiance.
Cette technique contourne efficacement les écrans de connexion et l’authentification multifacteur, permettant une prise de contrôle immédiate du compte.
« Bien que quatre extensions soient publiées sous databycloud1104 et la cinquième sous une marque différente, toutes les cinq partagent des modèles d’infrastructure identiques indiquant une seule opération coordonnée », ont ajouté les chercheurs. Socket a conseillé aux organisations d’auditer et de limiter strictement les extensions de navigateur, d’examiner attentivement les demandes d’autorisation et de supprimer les modules complémentaires qui accèdent inutilement aux cookies ou aux sites d’entreprise. Le blog recommande également de surveiller les activités anormales des sessions et d’utiliser des outils capables de détecter le comportement d’une extension malveillante avant qu’elle n’atteigne les utilisateurs.
