Cinco extensiones maliciosas de Chrome se hacen pasar por Workday y NetSuite para secuestrar cuentas corporativas

Según un informe publicado por la empresa de seguridad Socket, estas extensiones trabajan de manera conjunta para robar tokens de autenticación, bloquear funciones de seguridad y permitir el secuestro completo de sesiones, lo que deriva en la apropiación total de la cuenta.

Las extensiones detectadas son las siguientes:

• DataByCloud Access (ID: oldhjammhkghhahhhdcifmmlefibciph) – 251 instalaciones

• Tool Access 11 (ID: ijapakghdgckgblfgjobhcfglebbkebf) – 101 instalaciones

• DataByCloud 1 (ID: mbjjeombjeklkbndcjgmfcdhfbjngcam) – 1,000 instalaciones

• DataByCloud 2 (ID: makdmacamkifdldldlelollkkjnoiedg) – 1,000 instalaciones

• Software Access (ID: bmodapcihjhklpogdpblefpepjolaoij) – 27 instalaciones

Todas, excepto Software Access, ya han sido retiradas de la Chrome Web Store. Sin embargo, aún pueden encontrarse en sitios externos de descarga de software, como Softonic. Estas extensiones se promocionan como herramientas de productividad que ofrecen acceso a funciones premium de distintas plataformas empresariales.

A pesar de figurar bajo distintos nombres y publicadores, los investigadores consideran que se trata de una operación coordinada, ya que comparten el mismo comportamiento y utilizan una infraestructura similar. En concreto, las extensiones roban cookies del navegador, bloquean páginas de administración de seguridad y facilitan el secuestro de sesiones mediante la inyección de cookies.

Una vez instaladas, algunas de estas extensiones solicitan permisos amplios para acceder a cookies y datos del navegador en dominios como Workday, NetSuite y SuccessFactors. Las cookies de autenticación recopiladas son enviadas de forma periódica a servidores controlados por los atacantes.

También se detectó que varias de estas extensiones impiden el acceso a secciones clave de administración, evitando que las víctimas puedan cambiar contraseñas, gestionar la autenticación de dos factores o revisar registros de auditoría, lo que dificulta la respuesta ante un incidente de seguridad.

La extensión más avanzada, denominada Software Access, no solo roba cookies, sino que además puede recibir cookies robadas desde un servidor remoto e insertarlas directamente en el navegador del atacante, permitiendo el acceso inmediato a cuentas comprometidas sin necesidad de credenciales.

Un aspecto llamativo de esta campaña es que todas las extensiones incluyen una lista idéntica de herramientas de seguridad de Chrome, las cuales son monitoreadas para detectar si el usuario cuenta con extensiones que puedan interferir con el robo de información o revelar la actividad maliciosa.

Los usuarios de Chrome que hayan instalado alguna de estas extensiones deben eliminarlas de inmediato, cambiar sus contraseñas y revisar cualquier actividad sospechosa, especialmente accesos desde dispositivos o ubicaciones desconocidas.

Según Socket, la combinación de robo constante de credenciales, bloqueo de funciones de seguridad y secuestro de sesiones crea un escenario en el que los accesos no autorizados pueden pasar desapercibidos o resultar difíciles de mitigar por los canales habituales.