Extensões maliciosas do Chrome miram Workday e NetSuite
Extensões maliciosas do Chrome estão se passando por ferramentas de RH e ERP, como Workday e NetSuite, para roubar cookies de autenticação, bloquear páginas administrativas e assumir contas de usuários, segundo relatório da Socket.
Como o golpe funciona
Os pesquisadores identificaram cinco complementos: DataByCloud Access, Tool Access 11, DataByCloud 1, DataByCloud 2 e Software Access. Juntas, essas extensões solicitam permissões amplas — cookies, gerenciamento, scripting e storage — e enviam tokens de sessão a servidores controlados pelos invasores a cada 60 segundos.
• DataByCloud Access, DataByCloud 1 e DataByCloud 2 focam em cookie stealing e encriptação do tráfego C2.
• Tool Access 11 bloqueia 44 páginas de administração no Workday, enquanto DataByCloud 2 eleva o bloqueio para 56, incluindo troca de senha e auditoria de logs.
• Software Access, a mais sofisticada, não só rouba como também injeta cookies recebidos pelo domínio “api.software-access[.]com”, permitindo session hijacking direto.
Alvos e impacto para empresas
Com até 1 000 instalações cada, os complementos foram removidos da Chrome Web Store (exceto Software Access, que saiu após a divulgação), mas ainda circulam em sites de download de terceiros, como Softonic. Ao manipular o DOM e redirecionar URLs, eles impedem que equipes de segurança acessem configurações críticas de proxy, controle de sessão, 2FA e desativação de contas. O resultado é um cenário em que a detecção é possível, mas a resposta é bloqueada.
Cada extensão monitora a presença de 23 add-ons de segurança populares, como EditThisCookie e Redux DevTools, sinalizando ao atacante se alguma ferramenta pode expor suas atividades. A lista idêntica sugere campanha coordenada ou reutilização do mesmo kit de desenvolvimento.
Imagem: Internet
Recomendações de segurança
Usuários que instalaram qualquer uma das extensões devem removê-las imediatamente, redefinir senhas e verificar acessos suspeitos por IP ou dispositivo. Para detalhes técnicos completos, confira o relatório da The Hacker News, fonte original da descoberta.
Para quem busca manter o navegador — e todo o setup de trabalho ou jogo — protegido, vale acompanhar boas práticas de cibersegurança e revisar periodicamente as permissões de extensões instaladas. Já que segurança começa pela informação, continue navegando em nossa página inicial e fique por dentro das novidades do universo gamer e de hardware.
Crédito da imagem: The Hacker News Fonte: The Hacker News
