Ártalmas funkciók és kifinomult támadások
A megtévesztő bővítmények háromféle kártékony támadást alkalmaztak: hitelesítési sütik távoli szerverre történő kiszivárogtatását, adminisztrációs oldalak blokkolását a DOM manipulálásával, valamint kétirányú sütiinjekciót a munkamenet-azonosítók megszerzéséhez. Ez azt jelentette, hogy ezek az eszközök aktívan ellopták a munkavállalók belépési adatait, fejlett módokon akadályozták a vállalati felügyeletet, sőt, közvetlenül át is vehették a munkamenetek irányítását.
Bár különböző fejlesztői neveken jelentek meg, infrastruktúrájuk, API-végpontjaik és kódszerkezetük azonos, ami összehangolt műveletre utal. Négyet a databycloud1104, egyet pedig a Software Access nevű fejlesztő jegyzett.
Hamis ígéretek, veszélyes gyakorlat
A bővítményeket vállalati HR- és ERP-felhasználóknak ajánlották, extra funkciókkal és biztonságosabb működéssel kecsegtettek. Egy népszerű változat például 1 000 telepítést ért el azzal, hogy gyors, tömeges kezelőfelületet ígért a több rendszeren dolgozók számára. Egy másik, biztonságorientált bővítmény az adminisztrátori hozzáférések korlátozását, illetve a kompromittálódás megelőzését ígérte. Ennek következtében sok vállalati felhasználó adta hozzá rendszeréhez ezeket a bővítményeket, anélkül, hogy tudott volna az adatloppásról vagy a rejtett oldalblokkolásokról.
A valóságban a programok minden 60 másodpercben ellopták a munkamenetsütiket – például a __session nevűeket –, hogy átvegyék a felhasználók fiókjait, és folyamatos hozzáférést biztosítsanak a támadók számára. A Tool Access 11 nevű bővítmény 44, a Data By Cloud 2 pedig 56 adminisztratív funkcióhoz blokkolt hozzáférést, beleértve a kétfaktoros eszközökhöz, a jelszókezeléshez, a fiókdeaktiváláshoz és az auditnaplókhoz való hozzáférést is. Ez meglehetősen veszélyes, hiszen gátolhatja a védelmet vagy a behatolás utáni helyreállítást.
Azonnali fiókátvétel és leleplezés
A legveszélyesebb a Software Access bővítmény volt, amely nemcsak ellopta az aktív munkamenetsütiket, hanem be is tudott injektálni ilyeneket a böngészőbe, ha a támadók elküldték saját szerverükről. Így a bűnözőknek sem felhasználónév, sem jelszó, sem kétlépcsős azonosítás nem kellett a fiókok teljes átvételéhez.
A Google értesítést kapott, ennek nyomán a bővítményeket eltávolították a Chrome Web Store kínálatából. Azoknak a HR-rendszerek felhasználóinak, akik telepítették bármelyik szóban forgó bővítményt, haladéktalanul értesíteniük kell rendszergazdáikat, és jelszót kell változtatniuk, hogy elkerüljék az adatszivárgást vagy a további károkat.
