A segurança nas lojas de aplicações é uma batalha constante e a Chrome Web Store voltou a ser palco de uma descoberta preocupante. Um conjunto de cinco extensões maliciosas, disfarçadas de ferramentas de produtividade para empresas, foi apanhado a roubar credenciais e a sequestrar sessões de utilizadores corporativos.
A investigação foi conduzida pela empresa de cibersegurança Socket, que identificou estas ameaças a visar especificamente utilizadores de plataformas de gestão empresarial como a Workday, NetSuite e SAP SuccessFactors. Embora o número total de instalações ronde apenas as 2.300, o perfil das vítimas — contas corporativas com acessos privilegiados — torna o risco de roubo de dados e ataques de ransomware extremamente elevado.
Falsas ferramentas de produtividade
Os atacantes utilizaram uma estratégia de engenharia social focada no ambiente de trabalho. As extensões apresentavam-se como utilitários legítimos para melhorar a eficiência em tarefas de Recursos Humanos e gestão empresarial. Utilizavam nomes que inspiravam confiança técnica, mas escondiam funcionalidades perigosas.
Uma das extensões detetadas, chamada "Data By Cloud 2", acumulou cerca de mil instalações prometendo um painel de controlo para facilitar a gestão de múltiplas contas. Outra, ironicamente batizada de "Tool Access 11", vendia-se como uma ferramenta de segurança que limitava o acesso a funcionalidades administrativas sensíveis para prevenir comprometimentos.
Apesar de serem publicadas por programadores diferentes, com nomes como databycloud1104 e Software Access, a análise do código revelou que todas partilhavam a mesma infraestrutura e padrões de ataque, sugerindo uma operação coordenada por um único grupo.
O método de ataque silencioso
O comportamento destas extensões no navegador da Google era sofisticado. O objetivo principal não era apenas roubar palavras-passe, mas sim exfiltrar "cookies" de sessão. Estes pequenos ficheiros permitem que um utilizador se mantenha ligado a um site sem ter de fazer login repetidamente. Ao roubar estes tokens, os atacantes conseguiam aceder às contas das vítimas contornando a necessidade de passwords ou códigos de autenticação de dois fatores.
Os dados roubados eram enviados para servidores remotos a cada 60 segundos, garantindo aos criminosos um acesso quase em tempo real. Uma das variantes mais agressivas, a "Software Access", incluía ainda a capacidade de injetar cookies recebidos do servidor do atacante, permitindo o sequestro total da sessão do utilizador.
Para se protegerem, algumas destas extensões tinham a capacidade de detetar e bloquear o acesso a páginas de administração e segurança dentro das plataformas alvo. Se um administrador tentasse aceder a uma página de registos de auditoria para investigar atividades suspeitas, a extensão limpava o conteúdo da página ou redirecionava o navegador, mantendo o ataque invisível. As extensões foram reportadas e, à data desta notícia, aparentam ter sido removidas da loja oficial.
Nenhum comentário
Seja o primeiro!