Pesquisadores da Socket.dev descobriram cinco extensões maliciosas do Chrome que trabalham em conjunto para executar ataques sofisticados contra ambientes corporativos.
As ferramentas se passam por soluções de produtividade para plataformas empresariais como Workday, NetSuite e SuccessFactors, mas na verdade roubam tokens de autenticação, bloqueiam a resposta a incidentes e permitem o sequestro completo de contas.
smart_display
Nossos vídeos em destaque
Quatro das extensões foram publicadas sob o nome “databycloud1104”, enquanto a quinta opera sob a marca “softwareaccess”. Embora pareçam vir de desenvolvedores diferentes, todas compartilham infraestrutura idêntica, revelando uma operação coordenada. Juntas, já atingiram mais de 2.300 usuários em empresas ao redor do mundo.
Armadilha das ferramentas de produtividade
As extensões usam descrições convincentes para atrair vítimas desavisadas. A DataByCloud 2 apresenta um painel polido prometendo “ferramentas premium” para Workday e NetSuite, com cartões de conta exibindo valores em dólares e botões de acesso que sugerem funcionalidades legítimas para gerenciar múltiplas contas empresariais.
Já a Tool Access 11 se vende como um recurso de segurança que ajuda a “restringir acesso a ferramentas especiais” e “limitar interações dos usuários” para proteger contas. A descrição posiciona a extensão como uma salvaguarda para administradores ou equipes de compliance que desejam controlar o que usuários finais podem modificar.
As políticas de privacidade afirmam falsamente que “não coletarão ou usarão seus dados”, apesar das extensões implementarem roubo abrangente de credenciais e interferência em respostas a incidentes.
Três tipos de ataque em uma campanha
O que torna essa campanha particularmente perigosa é a combinação de três estratégias distintas de ataque executadas simultaneamente pelas extensões.
As extensões DataByCloud Access e Data By Cloud 1 são responsáveis pelo roubo direto de cookies de autenticação. A cada 60 segundos, essas ferramentas extraem cookies chamados “__session” que contêm tokens de autenticação para as plataformas empresariais.
Mesmo quando usuários fazem logout e login novamente durante fluxos normais de trabalho, as extensões capturam os novos tokens e os enviam para servidores controlados pelos atacantes.
O código de extração é idêntico em todas as extensões que roubam cookies, incluindo detalhes como a sintaxe da função, o operador de encadeamento opcional e até o nome específico do cookie alvo. Essa uniformidade no código não ocorre de forma independente, provando coordenação entre os desenvolvedores.
Já as extensões Tool Access 11 e Data By Cloud 2 executam uma função ainda mais sinistra. Elas manipulam a estrutura das páginas web para bloquear o acesso a 44 e 56 interfaces administrativas de segurança, respectivamente. Um observador de mutações monitora o DOM a cada 50 milissegundos para reaplicar o bloqueio se o conteúdo da página mudar.
Quando a extensão detecta que o usuário navegou para uma página bloqueada, ela apaga todo o conteúdo definindo document.body.innerHTML como uma string vazia, depois força um redirecionamento para uma URL malformada com extensão inválida, produzindo uma página de erro em vez de permitir acesso à interface administrativa legítima.
Bloqueio de resposta a incidentes
A Data By Cloud 2 amplia significativamente a lista de bloqueios do Tool Access 11, adicionando 12 páginas críticas que equipes de segurança usariam para conter uma violação. Entre as páginas bloqueadas estão funções essenciais de resposta a incidentes.
A página “Alterar Senha” é bloqueada para impedir que usuários ou administradores troquem credenciais comprometidas. Depois que as extensões de roubo de cookies exfiltram tokens de autenticação, elas bloqueiam mudanças de senha para garantir que os tokens roubados permaneçam válidos indefinidamente.
A função “Desativar Contas Workday” impede equipes de segurança de bloquear contas comprometidas durante resposta a incidentes. Administradores tentando desativar a conta de um usuário afetado encontrarão uma página em branco e um loop de redirecionamento.
O bloqueio de “Gerenciar Dispositivos Confiáveis” impede a remoção de dispositivos controlados por atacantes que possam ter sido adicionados usando credenciais roubadas. As páginas “Ver Histórico de Login” e “Revisar Histórico de Autenticação” eliminam a visibilidade de padrões de login que revelariam acesso não autorizado.
A extensão também bloqueia a página “Editar Configuração do Tenant – Segurança”, impedindo mudanças de configuração de segurança em todo o sistema. Administradores não conseguem modificar políticas de segurança, requisitos de autenticação ou controles em nível de tenant para mitigar acesso contínuo.
Sequestro de sessão bidirecional
A quinta extensão, Software Access, implementa o ataque mais sofisticado ao combinar roubo de cookies com manipulação bidirecional. Enquanto as outras extensões apenas exfiltram cookies, a Software Access também recebe credenciais roubadas do servidor de comando e controle e as injeta no navegador.
O mecanismo de injeção recebe dados de cookies como JSON do servidor e usa a função chrome.cookies.set() para instalá-los. O fluxo de ataque funciona assim: instâncias da extensão em sistemas comprometidos extraem tokens de sessão e os enviam para o servidor.
O servidor armazena esses tokens em um banco de dados indexado por conta, organização e plataforma.
Quando um navegador controlado pelo atacante com a extensão solicita acesso a uma conta específica, o servidor responde com a carga de cookies roubados. A extensão injeta os cookies e o atacante imediatamente ganha acesso autenticado às contas Workday, NetSuite ou SuccessFactors da vítima sem nunca ver uma tela de login.
Isso elimina completamente os requisitos de autenticação e permite contornar autenticação multifator usando sessões já autenticadas.
Mecanismos anti-análise
As extensões Data By Cloud 1 e Software Access incluem a biblioteca DisableDevtool para impedir inspeção de código. Essa biblioteca implementa múltiplos métodos de detecção que identificam quando as ferramentas de desenvolvedor estão abertas e as bloqueiam ou fecham automaticamente.
As técnicas incluem modificação do toString de RegExp, que explora diferenças em como console.log se comporta quando DevTools está aberto versus fechado. A biblioteca também usa defineProperty com funções getter que só executam durante inspeção de propriedades, permitindo detectar quando o código está sendo examinado.
A Software Access adiciona uma camada adicional especificamente direcionada a campos de entrada de senha. A cada segundo, o código localiza todos os campos de senha e anexa um observador de mutações a cada um. Se um usuário tentar mudar o tipo de input de password para text através da inspeção do DevTools, o observador detecta a mudança de atributo e imediatamente reverte.
Nenhuma extensão legítima implementa mecanismos para impedir que usuários inspecionem seus próprios campos de senha ou bloqueiam ferramentas de desenvolvedor. Essas capacidades existem apenas para esconder comportamento malicioso durante análise de segurança ou investigação do usuário.
Infraestrutura descartável
Ambos os domínios de comando e controle mostram sinais de infraestrutura descartável em vez de operações comerciais legítimas. Tentar acessar software-access.com produz uma falha de handshake SSL com código de erro 525 do Cloudflare, indicando que o servidor de origem tem um certificado SSL inválido, está mal configurado ou não está mais respondendo.
O domínio databycloud.com retorna erro 404 Not Found, confirmando que nenhum site existe no domínio raiz. Apesar disso, as extensões se comunicam ativamente com api.databycloud.com para exfiltrar tokens de autenticação.
A ausência de sites funcionais em ambos os domínios raiz é consistente com infraestrutura descartável usada por extensões maliciosas. Provedores legítimos de software empresarial mantêm sites de produtos, documentação, portais de suporte e informações da empresa em seus domínios primários.
As extensões referenciam esses domínios em suas descrições e solicitações de permissão, mas nenhum produto ou serviço real está hospedado.
Evidências de campanha coordenada
Apesar de usar publicadores diferentes, as cinco extensões compartilham assinaturas idênticas que provam coordenação entre os desenvolvedores.
Todas monitoram exatamente as mesmas 23 ferramentas de segurança do Chrome, incluindo extensões obscuras que atacantes independentes jamais escolheriam. A estrutura de servidores também é uniforme: api.[domínio].com/api/v1/mv3, indicando arquitetura backend comum.
O mais revelador é a divisão de tarefas. Cada extensão tem um papel específico na cadeia de ataque: umas roubam cookies, outras bloqueiam respostas de segurança e a última injeta sessões roubadas. Essa especialização só ocorre em operações planejadas, não em ataques independentes.
As versões progressivas (de 1.4 a 3.3) mostram desenvolvimento contínuo ao longo dos anos, com recursos cada vez mais sofisticados sendo adicionados.
Alvos de alto valor
A escolha das plataformas corporativas é estratégica. Workday, NetSuite e SuccessFactors gerenciam dados sensíveis de grandes empresas.
Além das plataformas empresariais, as extensões monitoram 170 domínios incluindo GitHub, AWS, Azure e registros npm. Comprometer credenciais de desenvolvedores abre caminho para ataques à cadeia de suprimentos de software.
A lista inclui ainda sites de conteúdo adulto, criando oportunidades de chantagem ao combinar histórico de navegação com dados financeiros e corporativos das vítimas.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.