Selon Socket (Threat Research Team), cinq extensions Chrome malveillantes, atteignant plus de 2 300 utilisateurs, ciblent des plateformes RH/ERP (Workday, NetSuite, SAP SuccessFactors) afin de voler des jetons d’authentification, bloquer l’accès aux pages de sécurité et permettre le détournement de sessions. Les extensions sont publiées sous les identités « databycloud1104 » et « softwareaccess » et restent en cours d’investigation, avec des demandes de retrait soumises au Chrome Web Store.

  • Les extensions identifiées — DataByCloud Access, Tool Access 11, Data By Cloud 2, Data By Cloud 1 et Software Access — opèrent de manière coordonnée avec trois vecteurs principaux : exfiltration de cookies (notamment le cookie « __session »), manipulation du DOM pour bloquer des pages d’administration et injection bidirectionnelle de cookies pour l’hijacking de session. Elles partagent des motifs de code, d’API et des listes d’outils de sécurité à détecter, indiquant une même opération.

  • Détails techniques clés : DataByCloud Access et Data By Cloud 1 exfiltrent des cookies vers api[.]databycloud[.]com toutes les 60 s, utilisent declarativeNetRequest pour injecter des cookies en sortie, et chiffrent la C2 par un chiffrement type Vigenère avec code fortement minimisé. Tool Access 11 et Data By Cloud 2 effacent le contenu des pages et redirigent vers des URLs invalides (ex. .htmld) afin de bloquer 44 à 56 pages d’administration Workday (politiques d’authentification, IP ranges, contrôle de sessions, MDP, désactivation de comptes, MFA, logs). Software Access combine exfiltration et injection via chrome.cookies.set() et utilise des headers Bearer et un X-Version pour le fingerprinting.

  • Mécanismes anti-analyse : présence de DisableDevtool (détection DevTools, timing, taille de fenêtre), protection des champs mot de passe via MutationObserver pour empêcher la révélation des valeurs. Les extensions détectent 23 extensions de sécurité via chrome.management et rapportent leur présence au C2.

  • Infrastructures et empreintes : les domaines racine databycloud[.]com (404) et software-access[.]com (Cloudflare 525) n’hébergent pas de sites publics, tandis que les API restent actives (ex. /api/v1/mv3), une signature commune des infrastructures jetables. Le ciblage couvre myworkday.com, workdaysuv.com, netsuite.com, successfactors.com/.eu, sapsf.com/.eu.

  • Impact: combinaison de vol continu de jetons, blocage de la remédiation (changements MDP, désactivation, MFA, logs, politiques) et hijacking de sessions permettant un accès persistant aux comptes d’entreprise. L’article fournit également des recommandations et des indicateurs pour la détection et la réponse.

IoCs (indicateurs de compromission)

  • Identifiants éditeurs:
  • Extensions Chrome:
    • DataByCloud Access — ID: oldhjammhkghhahhhdcifmmlefibciph
    • Tool Access 11 — ID: ijapakghdgckgblfgjobhcfglebbkebf
    • Data By Cloud 2 — ID: makdmacamkifdldldlelollkkjnoiedg
    • Data By Cloud 1 — ID: mbjjeombjeklkbndcjgmfcdhfbjngcam
    • Software Access — ID: bmodapcihjhklpogdpblefpepjolaoij
  • Réseaux/C2:
    • api[.]databycloud[.]com
    • api[.]databycloud[.]com/api/v1/mv3
    • api[.]software-access[.]com
    • api[.]software-access[.]com/api/v1/mv3
    • wss://api[.]software-access[.]com
    • user[.]software-access[.]com
    • admin[.]software-access[.]com

TTPs (MITRE ATT&CK)

  • T1539 — Steal Web Session Cookie
  • T1185 — Browser Session Hijacking
  • T1176.001 — Browser Extensions
  • T1027 — Obfuscated Files or Information
  • T1562.001 — Disable or Modify Tools

Type d’article: analyse de menace technique détaillant une campagne coordonnée d’extensions malveillantes avec IoCs et TTPs.

🧠 TTPs et IOCs détectés

TTPs

[‘T1539 — Steal Web Session Cookie’, ‘T1185 — Browser Session Hijacking’, ‘T1176.001 — Browser Extensions’, ‘T1027 — Obfuscated Files or Information’, ‘T1562.001 — Disable or Modify Tools’]

IOCs

{‘identifiants_editeurs’: [‘databycloud1104 — admin@databycloud.com’, ‘softwareaccess — softwareaccess0908@gmail.com’], ’extensions_chrome’: [‘DataByCloud Access — ID: oldhjammhkghhahhhdcifmmlefibciph’, ‘Tool Access 11 — ID: ijapakghdgckgblfgjobhcfglebbkebf’, ‘Data By Cloud 2 — ID: makdmacamkifdldldlelollkkjnoiedg’, ‘Data By Cloud 1 — ID: mbjjeombjeklkbndcjgmfcdhfbjngcam’, ‘Software Access — ID: bmodapcihjhklpogdpblefpepjolaoij’], ‘reseaux_c2’: [‘api[.]databycloud[.]com’, ‘api[.]databycloud[.]com/api/v1/mv3’, ‘api[.]software-access[.]com’, ‘api[.]software-access[.]com/api/v1/mv3’, ‘wss://api[.]software-access[.]com’, ‘user[.]software-access[.]com’, ‘admin[.]software-access[.]com’]}

🔗 Source originale : https://socket.dev/blog/5-malicious-chrome-extensions-enable-session-hijacking?utm_medium=feed