認証情報を盗む、アカウントを乗っ取る、インシデント対応を積極的にブロックする悪質なGoogle Chrome拡張機能のセットが、Workday、Netsuite、SAP SuccessFactorsなど、広く使用されている人事(HR)および企業資源計画(ERP)プラットフォームを標的にしていることが判明しました。
アプリケーションセキュリティ企業のSocketの脅威研究チームによって特定されたこの拡張機能は、複数のHRおよびERPアカウントを管理するユーザーを対象とした生産性ツールを装っており、Chrome Web Storeで利用可能でした。
公開後、悪質な拡張機能は削除されましたが、その前に2,300人のユーザーがダウンロードしていました。
拡張機能の名前は、DataByCloud 2、Tool Access 11、DataByCloud Access、Data By Cloud 1、およびSoftware Accessでした。
研究者らは、拡張機能がすべて同じエンタープライズプラットフォームを標的にし、同一のセキュリティツール検出リスト、APIエンドポイントパターン、およびコード構造を共有していることに注目しました。これは、拡張機能が異なるパブリッシャーによって開発されたとリストされていたにもかかわらず、調整された操作を示唆しています。
Chrome Web Storeのリストは、洗練されたプロフェッショナルな外観になるように設計されていました。アカウント侵害が実際の目的であったにもかかわらず、アカウント侵害を防ぐためのセキュリティ機能が含まれていると主張するものもありました。
インストール後、悪質な拡張機能はアカウントを制御するためのさまざまなアクションに従事しました。これには、認証クッキーを抽出して60秒ごとにコマンドアンドコントロール(C2)サーバーにアップロードすること、セッショントークンを抽出すること、C2トラフィックを暗号化すること、およびセッション制御インターフェイスを制御する能力が含まれていました。
拡張機能は、それらに対するインシデント対応アクションを積極的に防ぐように設計されていました。展開されたテクニックには、盗まれたアクセストークンが無期限に有効なままであることを確保するためにパスワード変更を防ぐことと、修復中に侵害されたアカウントをロックアウトすることを防ぐことが含まれていました。
対応能力を防ぐように設計された別のトリックでは、影響を受けたユーザーのアカウントを無効にしようとする管理者は、空白ページとリダイレクトループに遭遇します。
「5つの拡張機能にわたるクッキー盗難、管理ブロック、およびセッションハイジャックの調整された展開は、エンタープライズHRおよびERPプラットフォームに対する洗練された攻撃を表しています」とSocketのセキュリティエンジニア兼研究者のKush Pandyaは述べました。
「他のエンタープライズプラットフォームを標的にした同様のパターンが予想されるべき」と彼は付け加えました。
このまたは同様の悪質なキャンペーンによってアカウントが侵害されるのを防ぐために、Socketはセキュリティチームが許可リストをChrome Enterpriseに実装して、不正な拡張機能のインストールを防ぐべきだと述べました。
Socketはまた、同じエンタープライズプラットフォームを標的にした同様の許可リクエストを持つ拡張機能を監視することを組織が推奨することを提案しました。
Infosecurityはコメント用にGoogleに連絡しました。
翻訳元: https://www.infosecurity-magazine.com/news/malicious-google-chrome-extension/
