Siber güvenlik araştırmacıları, Workday, NetSuite ve SuccessFactors gibi insan kaynakları (HR) ve kurumsal kaynak planlama (ERP) platformlarını taklit ederek mağdur hesaplarını ele geçirmeyi amaçlayan beş yeni kötü amaçlı Google Chrome tarayıcı eklentisi tespit etti.
Socket güvenlik araştırmacısı Kush Pandya, Perşembe günü yayımlanan raporunda, “Bu eklentiler birlikte çalışarak kimlik doğrulama belirteçlerini (token) çalıyor, olay müdahale yeteneklerini engelliyor ve oturum kaçırma yoluyla tam hesap ele geçirilmesini sağlıyor” dedi.
Eklentilerin isimleri aşağıda listelenmiştir:
DataByCloud Access (ID: oldhjammhkghhahhhdcifmmlefibciph, Yayıncı: databycloud1104) – 251 yükleme
Tool Access 11 (ID: ijapakghdgckgblfgjobhcfglebbkebf, Yayıncı: databycloud1104) – 101 yükleme
DataByCloud 1 (ID: mbjjeombjeklkbndcjgmfcdhfbjngcam, Yayıncı: databycloud1104) – 1.000 yükleme
DataByCloud 2 (ID: makdmacamkifdldldlelollkkjnoiedg, Yayıncı: databycloud1104) – 1.000 yükleme
Software Access (ID: bmodapcihjhklpogdpblefpepjolaoij, Yayıncı: Software Access) – 27 yükleme
Yazının hazırlandığı tarih itibarıyla Software Access dışındaki tüm eklentiler Chrome Web Store’dan kaldırılmıştır. Ancak buna rağmen, Softonic gibi üçüncü taraf yazılım indirme sitelerinde hâlâ bulunabilmektedirler. Eklentiler; Workday, NetSuite ve diğer platformlar için premium araçlara erişim sunduğunu iddia eden üretkenlik araçları olarak tanıtılmaktadır. Bu eklentilerden ikisi olan DataByCloud 1 ve DataByCloud 2, ilk kez 18 Ağustos 2021 tarihinde yayımlanmıştır.
İki farklı yayıncı kullanılmış olmasına rağmen, kampanyanın aynı işlevsellik ve altyapı kalıplarını paylaşması nedeniyle koordineli bir operasyon olduğu değerlendirilmektedir. Kampanya özellikle saldırganların kontrolündeki uzak bir sunucuya çerezlerin sızdırılmasını, güvenlik yönetim sayfalarını engellemek için Belge Nesne Modeli (DOM) ağacının manipüle edilmesini ve çerez enjeksiyonu yoluyla oturum kaçırılmasını kapsamaktadır.
Kurulduktan sonra DataByCloud Access, Workday, NetSuite ve SuccessFactors alan adları genelinde çerezler, yönetim, betik çalıştırma, depolama ve declarativeNetRequest izinlerini talep etmektedir. Ayrıca belirli bir alan adına ait kimlik doğrulama çerezlerini toplamakta ve bunları her 60 saniyede bir “api.databycloud[.]com” alan adına göndermektedir.
Pandya, “Tool Access 11 (v1.4), sayfa içeriğini silerek ve bozuk URL’lere yönlendirerek Workday içindeki 44 yönetim sayfasına erişimi engelliyor” dedi. “Bu eklenti; kimlik doğrulama yönetimi, güvenlik proxy yapılandırması, IP aralığı yönetimi ve oturum kontrolü arayüzlerini devre dışı bırakıyor.”
Bu durum, DOM manipülasyonu yoluyla sağlanmakta; eklenti sürekli izlenen bir sayfa başlıkları listesi tutmaktadır. DataByCloud 2, engelleme özelliğini 56 sayfaya genişleterek parola değişiklikleri, hesap devre dışı bırakma, 2FA cihaz yönetimi ve güvenlik denetim günlüklerine erişim gibi kritik işlevleri de kapsar. Ayrıca hem üretim ortamlarını hem de Workday’in “workdaysuv[.]com” adresindeki sandbox test ortamını hedef alacak şekilde tasarlanmıştır.
Buna karşılık DataByCloud 1, DataByCloud Access’teki çerez çalma işlevini kopyalamakta; aynı zamanda açık kaynaklı DisableDevtool kütüphanesini kullanarak tarayıcı geliştirici araçlarıyla kod incelemesini engelleyen özellikler içermektedir. Her iki eklenti de komuta-kontrol (C2) trafiğini şifrelemektedir.
Grubun en gelişmiş eklentisi olan Software Access, çerez hırsızlığını “api.software-access[.]com” alan adından çalınmış çerezleri alıp tarayıcıya enjekte edebilme yeteneğiyle birleştirerek doğrudan oturum kaçırılmasını mümkün kılmaktadır. Ayrıca kullanıcıların kimlik bilgisi girişlerini incelemesini engelleyen parola giriş alanı korumasına da sahiptir.
Socket’e göre, “Fonksiyon sunucudan gelen yükten çerezleri ayrıştırıyor, hedef alan adı için mevcut çerezleri siliyor ve ardından verilen çerez dizisi üzerinde yineleme yaparak her birini chrome.cookies.set() ile enjekte ediyor. Bu da mağdurun kimlik doğrulama durumunu doğrudan tehdit aktörünün tarayıcı oturumuna yüklüyor.”
Beş eklentinin tamamını birbirine bağlayan dikkat çekici bir unsur, EditThisCookie, Cookie-Editor, ModHeader, Redux DevTools ve SessionBox gibi 23 güvenlikle ilişkili Chrome eklentisinden oluşan aynı listeyi içermeleridir. Bu liste, tehdit aktörünün söz konusu eklentilerin varlığını izleyip işaretlemesine olanak tanımaktadır.
Socket’e göre bu durum, tarayıcıda çerez toplama faaliyetlerini engelleyebilecek ya da eklentinin davranışını açığa çıkarabilecek araçların bulunup bulunmadığını tespit etmeye yönelik bir girişimdir. Ayrıca tüm eklentilerde aynı uzantı kimlikleri listesinin yer alması iki olasılığa işaret etmektedir: ya aynı tehdit aktörü eklentileri farklı yayıncılar altında yayımlamıştır ya da ortak bir araç seti kullanılmıştır.
Söz konusu eklentilerden herhangi birini yüklemiş olan Chrome kullanıcılarına, eklentileri tarayıcılarından kaldırmaları, parolalarını sıfırlamaları ve tanımadıkları IP adresleri veya cihazlardan yetkisiz erişim belirtilerini incelemeleri tavsiye edilmektedir.
Socket, “Sürekli kimlik bilgisi hırsızlığı, yönetim arayüzlerinin engellenmesi ve oturum kaçırmanın birleşimi; güvenlik ekiplerinin yetkisiz erişimi tespit edebildiği ancak normal kanallar üzerinden müdahale edemediği bir senaryo yaratıyor” değerlendirmesinde bulundu.