Зловреден софтуер маскиран като бизнес инструменти атакува платформите Workday и NetSuite
Изследователи по киберсигурност от компанията Socket откриха пет нови опасни разширения за браузъра Google Chrome. Те се маскират като легитимни платформи за управление на човешки ресурси (HR) и планиране на ресурсите на предприятието (ERP), имитирайки популярни услуги като Workday, NetSuite и SuccessFactors. Целта на атаката е пълно превземане на потребителски акаунти чрез кражба на сесийни бисквитки и автентификационни токени.
Списък на опасните разширения:
-
DataByCloud Access (ID: oldhjammhkghhahhhdcifmmlefibciph)
-
Tool Access 11 (ID: ijapakghdgckgblfgjobhcfglebbkebf)
-
DataByCloud 1 (ID: mbjjeombjeklkbndcjgmfcdhfbjngcam)
-
DataByCloud 2 (ID: makdmacamkifdldldlelollkkjnoiedg)
-
Software Access (ID: bmodapcihjhklpogdpblefpepjolaoij)
Според доклада на анализатора Куш Пандя, тези разширения работят в синхрон. Докато едни крадат данни и ги изпращат към отдалечени сървъри на всеки 60 секунди, други блокират достъпа на потребителите до административните панели за сигурност. Чрез манипулация на програмния код на страниците (DOM), зловредният софтуер прави невъзможна промяната на пароли, деактивирането на акаунти или управлението на двуфакторната автентификация (2FA).
Най-усъвършенстваното от тях, Software Access, позволява на хакерите директно да инжектират откраднатите „бисквитки“ в собствените си браузъри, придобивайки моментален достъп до чуждата сесия без нужда от парола. Освен това, разширенията имат вграден списък от 23 инструмента за сигурност, които следят, за да избегнат засичане.
Въпреки че повечето от тях вече са премахнати от официалния Chrome Web Store, те все още могат да бъдат открити в сайтове за софтуер от трети страни като Softonic. Специалистите съветват всички потребители, които са инсталирали подобни инструменти, незабавно да ги премахнат, да нулират паролите си и да проверят историята на влизанията си за непознати IP адреси.
Все още няма коментари. Бъдете първи!