Cinque estensioni Chrome maligne attaccano i sistemi Hr e Erp aziendali: come proteggerti
Avviso immediato: controlla le tue estensioni Chrome adesso
Le tue piattaforme Hr e Erp potrebbero essere sotto attacco in questo momento. Cinque estensioni Chrome subdole si fingono strumenti di produttività innocui, ma in realtà rubano i tuoi token di autenticazione ogni 60 secondi, disattivano i controlli di sicurezza e permettono agli attaccanti di prendere il controllo completo dei tuoi account aziendali senza bisogno di password.
Se la tua azienda usa Workday, NetSuite o SuccessFactors, devi agire subito. Le estensioni coinvolte sono DataByCloud 2, Tool Access 11, DataByCloud Access, Data By Cloud 1 e Software Access. Anche se quattro sono state rimosse dal Chrome Web Store, rimangono disponibili su siti di download di terze parti e nei browser di oltre 2.300 utenti enterprise che le hanno già installate.
Azione immediata: apri le impostazioni di Chrome, vai su “Estensioni”, cerca questi nomi e disinstalla tutto ciò che non riconosci. Se sospetti un’infezione, resetta tutte le tue password da un dispositivo pulito e avvisa il tuo team di sicurezza IT.
Perché questa minaccia è così pericolosa
Queste estensioni non funzionano da sole. Lavorano in squadra, coordinate da un’unica operazione criminale, per creare un accesso persistente ai tuoi sistemi aziendali più sensibili. Una volta installate, estraggono i cookie di autenticazione e i token di sessione, trasmettendoli a server di comando e controllo crittografati ogni minuto. Questo significa che gli attaccanti mantengono l’accesso anche dopo che tu esci e rientri nel tuo account durante la giornata lavorativa.
Ma il furto dei token è solo l’inizio. Le estensioni bloccano attivamente le pagine amministrative del tuo sistema Hr o Erp, impedendo al tuo team di sicurezza di reagire. Immagina di scoprire un accesso non autorizzato, ma di non poter cambiare la password, disattivare l’account o consultare i log di audit. Questo costringe le aziende a tollerare l’intrusione o a ricreare profili da zero, con costi enormi in tempo e risorse.
I reparti risorse umane e finanza sono i più esposti, poiché gestiscono i dati più critici: stipendi, benefit, informazioni personali dei dipendenti, documentazione fiscale e piani strategici aziendali.
Come riconoscere le estensioni maligne
Le estensioni pericolose si mascherano come strumenti legittimi per gestire più account Hr e Erp. Le loro pagine di descrizione nel Chrome Web Store sembrano professionali e ben curate, con promesse di “accesso facile” e “sicurezza contro le compromissioni”—proprio quello che cercano i dipendenti che gestiscono più piattaforme.
Ecco i segnali di pericolo da cercare:
- Permessi eccessivi: richieste di accesso ai cookie, scripting, storage e gestione su domini di Workday, NetSuite o SuccessFactors
- Descrizioni generiche: promesse vaghe di “produttività” senza funzionalità specifiche chiaramente descritte
- Sviluppatori sconosciuti: nomi di publisher che non corrispondono a aziende riconosciute
- Recensioni sospette: poche recensioni o solo valutazioni molto positive senza dettagli
Soluzione immediata: proteggere la tua azienda
Per i responsabili IT e della sicurezza:
Attiva le liste di estensioni consentite in Chrome Enterprise. Questo impedisce l’installazione di estensioni non autorizzate su tutti i device aziendali.
Monitora i permessi sospetti. Cerca estensioni che richiedono accesso ai cookie su domini Hr e Erp con pattern di estrazione identici.
Scansiona il codice delle estensioni installate. Usa strumenti di analisi per disassemblare il codice e rilevare comportamenti nascosti.
Implementa profili browser separati. Crea profili distinti per lavoro e uso personale, con estensioni bloccate sui profili aziendali.
Se il tuo account è stato compromesso: resetta le sessioni dal backend del tuo sistema Hr/Erp, non dal frontend. Scansiona tutti i device aziendali e forza un nuovo login per tutti gli utenti.
Technical Deep Dive
Meccanismi di infezione e persistenza
Le estensioni sfruttano permessi avanzati di Chrome per accedere ai dati sensibili. Una volta installate, richiedono autorizzazioni per:
- Accesso ai cookie: estrazione di cookie di autenticazione da domini specifici
- Scripting: esecuzione di codice JavaScript sulle pagine visitate
- Storage: accesso ai dati locali e alle sessioni memorizzate
- DeclarativeNetRequest: intercettazione e modifica delle richieste di rete
DataByCloud Access, ad esempio, estrae cookie di autenticazione dai domini di Workday, NetSuite e SuccessFactors, quindi li trasmette al server C2 api.databycloud[.]com ogni 60 secondi. I cookie vengono crittografati durante la trasmissione, complicando il rilevamento da parte dei sistemi di monitoraggio del traffico.
Blocco amministrativo e manipolazione DOM
Tool Access 11 implementa un meccanismo sofisticato di blocco amministrativo. Mantiene una lista di 44 pagine amministrative di Workday e monitora il DOM ogni 50 millisecondi usando MutationObserver. Quando un utente tenta di accedere a una pagina bloccata—come la gestione dell’autenticazione, la configurazione del proxy di sicurezza, la gestione degli IP range o le interfacce di controllo delle sessioni—l’estensione cancella il contenuto della pagina e reindirizza a URL fasulli, simulando errori di caricamento.
Data By Cloud 2 espande questo meccanismo a 56 pagine, aggiungendo funzioni critiche come il reset delle password, la disattivazione degli account, la gestione dei dispositivi 2FA e l’accesso ai log di audit. Colpisce anche gli ambienti sandbox di Workday su workdaysuv[.]com, impedendo ai team di sicurezza di testare le contromisure.
Coordinamento e rilevamento dei tool di sicurezza
Tutte e cinque le estensioni mantengono una lista identica di 23 estensioni Chrome protettive che monitorano costantemente. Questa lista identica tra estensioni apparentemente sviluppate da publisher diversi è la prova definitiva di un’operazione coordinata. I domini C2 come databycloud[.]com restituiscono risposte 404, mentre software-access[.]com fallisce il handshake SSL, complicando l’analisi forense e il tracciamento dell’infrastruttura criminale.
Impatto statistico e timeline
La campagna è attiva dal 18 agosto 2021, quando DataByCloud 1 e DataByCloud 2 sono state pubblicate per la prima volta. Nel corso degli anni, le estensioni si sono evolute per eludere i rilevamenti e le revisioni del Chrome Web Store. Prima della rimozione, hanno raggiunto oltre 2.300 installazioni in ambienti enterprise, con focus su piattaforme Hr e Erp usate da migliaia di aziende globali.
Tabella comparativa delle estensioni
| Estensione | Pagine bloccate | Funzioni principali | Data pubblicazione |
|---|---|---|---|
| DataByCloud 1 | Variabile | Estrazione cookie, upload C2 | 18 agosto 2021 |
| DataByCloud 2 | 56 | Blocco admin esteso, sandbox targeting | Successiva a DataByCloud 1 |
| DataByCloud Access | Variabile | Estrazione cookie, permessi avanzati | Variabile |
| Tool Access 11 | 44 | Blocco auth, proxy, IP, sessioni | Variabile |
| Software Access | Variabile | Iniezione bidirezionale cookie | Ancora disponibile |
Previsioni e rischi futuri
I ricercatori di sicurezza prevedono attacchi simili su altre piattaforme enterprise come SAP SuccessFactors, Oracle HCM e ADP Workforce Now. Le tecniche di manipolazione DOM e il monitoraggio dei tool di sicurezza sono facilmente adattabili a qualsiasi piattaforma che richieda autenticazione basata su cookie.
L’integrazione con sistemi SIEM è essenziale per tracciare upload anomali verso server C2 e modifiche DOM in tempo reale. Aggiorna le policy di sicurezza regolarmente e mantieni un inventario delle estensioni autorizzate, confrontandolo settimanalmente con lo stato reale dei device aziendali. Con la minaccia che continua a evolversi, la vigilanza proattiva è l’unica difesa affidabile.
Fonte: https://cybersecuritynews.com/5-malicious-chrome-extensions-attacking-enterprise-hr/
