Angreifer a déjà bösartige Chrome-Erweiterungen utilisé, un sich Zugriff auf beliebte HR- und ERP-Plattformen zu verschaffen.
La recherche de solutions de sécurité Socket a donné lieu à une campagne coordonnée, qui s’appuie sur la base de modules complémentaires Chrome. Les Angreifer ont les mécanismes d’installation des Chrome Web Stores umgangen et les Erweiterungen ainsi que les produits impliqués.
« Les services utilisés pour l’authentification, les jetons d’authentification, les fonctions de réponse aux incidents pour le blocage et le détournement de session par l’intermédiaire de plusieurs contacts », indiquent les spécialistes de la sécurité dans un seul. Blogbeitrag.
Les arrière-plans de la campagne sont dotés de lumières chromées, de marques professionnelles et de mises en œuvre légitimes au sein des workflows internes des entreprises au sein de l’entreprise.
Die Installationszahlen deuten darauf hin, dass über 2.300 Nutzer dazu verleitet wurden, ces outils zu installieren. Les options disponibles sur les systèmes tels que Workday, NetSuite et SuccessFactors sont une seule et même solution de mise en place de dates de démarrage, de dates financières et d’organisations internes disponibles.
Obtenez des outils de production avec des codes de référence
Die Erweiterungen gaben sich als Produktivitäts-Booster ou Sicherheitshelfer für Enterprise-Anwender aus. Dans den Einträgen zeigten the Angreifer professionell gestaltete Dashboards et versprachen einen vereinfachten Zugriff auf HR- or ERP-Tools. Les options proposées sont celles de type « Standard » et des options intégrées pour désactiver les fonctions telles que les cookies ou les modifications des sites Web.
Lors de l’installation, vous avez effectué trois options d’installation, en permettant l’accès à DataByCloud, Data By Cloud 1 et une variante de nom d’accès au logiciel, les cookies de session avec jeton d’authentification et une infrastructure contrôlée par une autre. Ce jeton appartient à de nombreux systèmes d’assistance, un seul mot de passe pour l’authentification. Lors d’une seule chute de ces cookies, tous les 60 secondes sont extraits, une mise à jour actuelle pour les lectures.
Des solutions de sécurité compatibles peuvent être utilisées avec les logiciels de gestion des mots de passe, car elles permettent d’effectuer des vérifications et des tests multifacteurs et d’avoir un avis direct sur un comptoir, sans aucun avertissement de sécurité.
« Tous les articles sont disponibles dans le Zeitpunkt der Erstellung diese Artikels noch untersucht », dit Forscher. « Nous avons été contactés par l’équipe de sécurité de Google pour le Chrome Web Store au moyen de la procédure de mise à disposition. »
Blocage des systèmes de sécurité et détournement des sites
La Campagne se déroule au-delà du Diebstahl von Anmeldedaten hinaus. Deux des options, Tool Access 11 et Data By Cloud 2, complètent les routines de manipulation DOM, les options de sécurité et les services de gestion internes des plates-formes de mise en forme actives bloquées. Dadurch Enterprise-Admins a lui-même des mots de passe, l’histoire de l’histoire ou des comptes compromis sont désactivés, lorsque les utilisateurs sont confirmés.
La technologie forte de l’accès aux logiciels est basée sur une injection de cookies bidirectionnelle, avec les jetons de session gérés dans un navigateur contrôlé par un navigateur Web. Vous pouvez utiliser des API telles que « chrome.cookies.set() » pour implanter cette fonction d’authentification directe-Cookies et créer une zone d’authentification unique, sans que vous ayez besoin de plus d’informations.
« Während vier Erweiterungen unter databycloud1104 et die fünfte unter un autre Markennamen veröffentlicht werden, weisen alle fünf identische Infrastrukturmuster auf, was auf a une einzige koordinierte Operation hindeutet », a déclaré le Forscher.
Conseils pour la sécurité
Prise en charge de Socket, renforcement des fonctionnalités de navigateur pour la vérification et la description, services de configuration permettant de vérifier et de modules complémentaires pour l’utilisation, les cookies inconnus ou les sites Web d’entreprise sont pris en compte. En utilisant le blog, des activités de session uniques et des outils d’utilisation, les outils d’utilisation des outils peuvent être utilisés avant que les avantages ne se produisent. (jm)
