Saldırı Nasıl Çalışıyor?
Araştırmacılar, Google Chrome tarayıcısında, insan kaynakları (HR) ve kurumsal kaynak planlaması (ERP) platformlarını taklit eden beş yeni zararlı uzantı keşfetti. Bu uzantılar, kullanıcı hesaplarının kontrolünü ele geçirmek amacıyla tasarlandı ve saldırganların kimlik doğrulama belirteçlerini çaldığı, olay yanıt yeteneklerini engellediği ve oturum kaçırma gerçekleştirdiği tespit edildi.
Etkilenen Sistemler
Aşağıdaki zararlı uzantılar, Workday, NetSuite ve SuccessFactors gibi platformlarda etkili oldu:
- DataByCloud Access (ID: oldhjammhkghhahhhdcifmmlefibciph, Yayıncı: databycloud1104) – 251 Kurulum
- Tool Access 11 (ID: ijapakghdgckgblfgjobhcfglebbkebf, Yayıncı: databycloud1104) – 101 Kurulum
- DataByCloud 1 (ID: mbjjeombjeklkbndcjgmfcdhfbjngcam, Yayıncı: databycloud1104) – 1,000 Kurulum
- DataByCloud 2 (ID: makdmacamkifdldldlelollkkjnoiedg, Yayıncı: databycloud1104) – 1,000 Kurulum
- Software Access (ID: bmodapcihjhklpogdpblefpepjolaoij, Yayıncı: Software Access) – 27 Kurulum
Yazının yazıldığı tarihte, Software Access dışındaki uzantılar Chrome Web Mağazası’ndan kaldırılmıştır; ancak halen üçüncü taraf indirilen yazılım sitelerinde bulunmaktadır. Bu uzantılar, kullanıcıları kandırmak için üretkenlik araçları olarak tanıtılmaktadır.
Çözüm ve Korunma
Bu kampanya, iki farklı yayıncı kullanmasına rağmen, benzer işlevselliği ve altyapı kalıplarını temel alarak koordine bir operasyon olarak değerlendirilmektedir. Uzantılar, kötü niyetli kullanıcıların uzaktan yönetim sunucusuna çerezleri sızdırmasını, güvenlik yönetim sayfalarına erişimi engellemesini ve çerez enjeksiyonu yoluyla oturum kaçırmayı sağlamaktadır.
DataByCloud Access, kurulumdan sonra Workday, NetSuite ve SuccessFactors alanlarında çerezler, yönetim, betik yazma, depolama ve declarativeNetRequest için izin talep etmektedir. Çerezler, her 60 saniyede bir “api.databycloud[.]com” alanına gönderilmektedir.
Verilen bilgiler ışığında, Tool Access 11 (v1.4), Workday’daki 44 yönetim sayfasına erişimi engellemektedir. Data By Cloud 2, bu engelleme işlevini 56 sayfaya çıkartarak önemli işlevleri, şifre değişiklikleri, hesap devre dışı bırakma ve güvenlik denetim günlüklerine erişim gibi özellikleri hedef almaktadır.
En gelişmiş uzantı olan Software Access, çerez hırsızlığı ile birlikte “api.software-access[.]com” üzerinden çalınan çerezleri alarak tarayıcıya enjekte etmektedir. Bu uzantının, kullanıcıların kimlik bilgilerini incelemesini önlemek için şifre giriş alanı koruması bulunmaktadır.
Sonuç olarak, bu beş uzantı, güvenlik araştırmacıları tarafından tespit edilen, tarayıcıda kullanıcıların gizliliğini tehdit eden karmaşık bir saldırı yapısı içermektedir.
Aksiyon
Chrome kullanıcılarının, yukarıda listelenen uzantılardan herhangi birini yüklemiş olmaları durumunda derhal bu uzantıları tarayıcılarından kaldırmaları, parolalarını değiştirmeleri ve tanımadıkları IP adreslerinden veya cihazlardan gelen yetkisiz erişim belirtilerini incelemeleri önem arz etmektedir.
Devam eden kimlik bilgisi hırsızlığına, yönetim arayüzü blokajına ve oturum kaçırmaya karşı dikkatli olunmalıdır.
