标签 会话劫持 下的文章

网络安全研究人员发现了五款新的恶意 Google Chrome 浏览器扩展,它们伪装成人力资源(HR)和企业资源计划(ERP)平台(如 Workday、NetSuite 和 SuccessFactors),以劫持受害者账户
“这些扩展协同工作,窃取身份验证令牌,阻断安全响应能力,并通过会话劫持实现完全账户接管。”Socket 安全研究员 Kush Pandya 在周四的报告中表示。
这些扩展的名称如下:
  • DataByCloud Access(ID: oldhjammhkghhahhhdcifmmlefibciph,发布者:databycloud1104)——251 次安装
  • Tool Access 11(ID: ijapakghdgckgblfgjobhcfglebbkebf,发布者:databycloud1104)——101 次安装
  • DataByCloud 1(ID: mbjjeombjeklkbndcjgmfcdhfbjngcam,发布者:databycloud1104)——1,000 次安装
  • DataByCloud 2(ID: makdmacamkifdldldlelollkkjnoiedg,发布者:databycloud1104)——1,000 次安装
  • Software Access(ID: bmodapcihjhklpogdpblefpepjolaoij,发布者:Software Access)——27 次安装
截至撰写时,除 Software Access 外,其他四款均已从 Chrome 应用商店下架。尽管如此,它们仍可在 Softonic 等第三方软件下载网站获取。这些插件被宣传为 “生产力工具”,声称能提供 Workday、NetSuite 等平台的 “高级功能访问权限”。其中 DataByCloud 1 和 DataByCloud 2 最早发布于 2021 年 8 月 18 日。
尽管使用了两个不同的发布者,但基于完全相同的功能和基础设施模式,研究人员判定这是一场协同攻击活动。攻击流程包括:将 Cookie 窃取到攻击者控制的远程服务器、通过操纵 DOM 树阻止安全管理页面访问、以及通过 Cookie 注入实现会话劫持。
安装后,DataByCloud Access 会请求对 Workday、NetSuite 和 SuccessFactors 域名的以下权限:cookies、management、scripting、storage 和 declarativeNetRequest。它还会收集指定域名的身份验证 Cookie,并每 60 秒发送到 “api.databycloud [.] com”。
“Tool Access 11(v1.4)通过清空页面内容并跳转到无效 URL,阻止用户访问 Workday 中的 44 个管理页面。”Pandya 解释说。“该扩展会阻断身份验证管理、安全代理配置、IP 范围管理和会话控制界面。”
这是通过 DOM 操纵实现的:扩展会维护一个页面标题列表并持续监控。DataByCloud 2 则将被阻断的页面扩展到 56 个,新增了密码修改、账户停用、双因素认证设备管理和安全审计日志访问等关键功能。它同时针对生产环境和 Workday 的沙箱测试环境 “workdaysuv [.] com”。
相比之下,DataByCloud 1 复制了 DataByCloud Access 的 Cookie 窃取功能,同时集成了使用开源库 DisableDevtool 来阻止开发者工具调试的功能。两款扩展均对其 C2 通信进行加密。
五款扩展中最复杂的是 Software Access,它不仅能窃取 Cookie,还能从 “api.software-access [.] com” 接收被盗的 Cookie,并将其注入浏览器,从而实现直接的会话劫持。此外,它还会保护密码输入框,防止用户查看输入的凭据。
“该功能会从服务器载荷中解析 Cookie,删除目标域名的现有 Cookie,然后遍历提供的 Cookie 数组,使用 chrome.cookies.set () 逐个注入。”Socket 表示。“这会将受害者的身份验证状态直接安装到威胁 actor 的浏览器会话中。”
值得注意的是,所有五款扩展都包含一个完全相同的 23 个安全相关 Chrome 扩展列表,例如 EditThisCookie、Cookie-Editor、ModHeader、Redux DevTools 和 SessionBox。它们会监控这些扩展的存在并向威胁 actor 发送告警。
Socket 认为,这很可能是为了判断浏览器是否安装了可能干扰其 Cookie 窃取目标或暴露其行为的工具。此外,五款扩展共享相同的扩展 ID 列表,这意味着它们要么来自同一威胁 actor(使用不同发布者账号),要么使用了同一个工具包。
Chrome 用户如果安装了上述任何插件,应立即从浏览器中删除,并重置密码,同时检查是否存在来自陌生 IP 或设备的未授权访问。
“持续的凭据窃取、管理界面阻断和会话劫持相结合,会导致安全团队即使检测到未授权访问,也无法通过正常渠道进行补救。”Socket 警告说。

Socket 威胁研究团队揭露了一场针对企业环境的新型、高度复杂的攻击活动。五款伪装成生产力工具的恶意 Google Chrome 扩展被发现正在窃取身份验证令牌并劫持用户会话,目标涵盖 Workday、NetSuite、SAP SuccessFactors 等主流企业平台。
这些恶意扩展包括 DataByCloud Access、Data By Cloud 1、Data By Cloud 2、Tool Access 11 和 Software Access,累计安装量已超过 2,300 名用户。它们表面上承诺简化工作流程、提供 “高级工具”,实则用于渗透企业网络并削弱安全响应能力。
攻击者为恶意软件披上了专业、合法的外衣。这些扩展拥有精致的控制面板,并请求看似正常的权限,不会立即引起怀疑。
“这些扩展将自己伪装成生产力工具,声称能简化企业平台的访问流程…… 主要针对需要在多个账号间切换或追求更快工作流的用户。”
然而,在这层伪装之下,是一个协调一致的恶意软件运营。Socket 的分析显示,这些工具共享完全相同的代码结构、API 端点和安全工具检测列表,表明它们来自同一威胁 actor。

攻击链:三大恶意技术协同入侵

该攻击活动采用三种核心技术来攻陷账号并维持长期控制:

1. Cookie 窃取(Cookie Exfiltration)

这些扩展会持续收集会话令牌。例如,DataByCloud Access 会提取名为 _session 的 Cookie,并每隔 60 秒 将其发送到攻击者的 C2 服务器
“这确保即使用户在正常工作流程中登出并重新登录,威胁 actor 仍能保持对最新令牌的掌控。”

2. 会话劫持(Session Hijacking)

Software Access 扩展更进一步,实现了双向 Cookie 注入。它会从攻击者服务器获取被盗的凭证,并将其直接注入受害者浏览器,从而绕过多因素认证(MFA)
“Software Access 的双向 Cookie 注入完全绕过了身份验证要求,使攻击者无需密码即可访问被攻陷的账号。”

3. 阻断安全响应(Blocking Incident Response)

最阴险的功能是它们能够让安全团队 “失明”。例如 Data By Cloud 2Tool Access 11 会主动监控并阻止访问关键管理页面。
“这些阻断型扩展会造成‘遏制失效’场景。安全团队即使发现了可疑活动…… 但所有标准的补救措施都会被阻断。”
被阻断的页面包括:
  • 密码修改表单
  • 双因素认证设备管理
  • 安全审计日志
当管理员试图访问这些页面时,扩展会立即清空内容并进行重定向,使安全人员无法进入自己的管理界面。

反检测机制(Anti-Detection)

恶意软件作者还加入了多种反研究机制。部分变体使用 DisableDevtool 库阻止代码检查,并通过 “RegExp toString 篡改” 检测调试器是否处于激活状态。
“没有任何合法扩展会阻止用户查看自己的密码字段,也不会阻止开发者工具打开。这些功能的存在只有一个目的:隐藏恶意行为。”

影响与建议

通过攻陷员工日常使用的工具,攻击者可以绕过边界防护,直接访问敏感的 HR 与 ERP 数据。企业被建议立即:
  • 审查浏览器扩展策略
  • 调查是否安装了上述恶意插件
  • 限制员工随意安装扩展
  • 加强对会话令牌和 Cookie 的监控

网络安全研究人员发现了五款新的恶意 Google Chrome 浏览器扩展,它们伪装成人力资源(HR)和企业资源计划(ERP)平台(如 Workday、NetSuite 和 SuccessFactors),以劫持受害者账户
“这些扩展协同工作,窃取身份验证令牌,阻断安全响应能力,并通过会话劫持实现完全账户接管。”Socket 安全研究员 Kush Pandya 在周四的报告中表示。
这些扩展的名称如下:
  • DataByCloud Access(ID: oldhjammhkghhahhhdcifmmlefibciph,发布者:databycloud1104)——251 次安装
  • Tool Access 11(ID: ijapakghdgckgblfgjobhcfglebbkebf,发布者:databycloud1104)——101 次安装
  • DataByCloud 1(ID: mbjjeombjeklkbndcjgmfcdhfbjngcam,发布者:databycloud1104)——1,000 次安装
  • DataByCloud 2(ID: makdmacamkifdldldlelollkkjnoiedg,发布者:databycloud1104)——1,000 次安装
  • Software Access(ID: bmodapcihjhklpogdpblefpepjolaoij,发布者:Software Access)——27 次安装
截至撰写时,除 Software Access 外,其他四款均已从 Chrome 应用商店下架。尽管如此,它们仍可在 Softonic 等第三方软件下载网站获取。这些插件被宣传为 “生产力工具”,声称能提供 Workday、NetSuite 等平台的 “高级功能访问权限”。其中 DataByCloud 1 和 DataByCloud 2 最早发布于 2021 年 8 月 18 日。
尽管使用了两个不同的发布者,但基于完全相同的功能和基础设施模式,研究人员判定这是一场协同攻击活动。攻击流程包括:将 Cookie 窃取到攻击者控制的远程服务器、通过操纵 DOM 树阻止安全管理页面访问、以及通过 Cookie 注入实现会话劫持。
安装后,DataByCloud Access 会请求对 Workday、NetSuite 和 SuccessFactors 域名的以下权限:cookies、management、scripting、storage 和 declarativeNetRequest。它还会收集指定域名的身份验证 Cookie,并每 60 秒发送到 “api.databycloud [.] com”。
“Tool Access 11(v1.4)通过清空页面内容并跳转到无效 URL,阻止用户访问 Workday 中的 44 个管理页面。”Pandya 解释说。“该扩展会阻断身份验证管理、安全代理配置、IP 范围管理和会话控制界面。”
这是通过 DOM 操纵实现的:扩展会维护一个页面标题列表并持续监控。DataByCloud 2 则将被阻断的页面扩展到 56 个,新增了密码修改、账户停用、双因素认证设备管理和安全审计日志访问等关键功能。它同时针对生产环境和 Workday 的沙箱测试环境 “workdaysuv [.] com”。
相比之下,DataByCloud 1 复制了 DataByCloud Access 的 Cookie 窃取功能,同时集成了使用开源库 DisableDevtool 来阻止开发者工具调试的功能。两款扩展均对其 C2 通信进行加密。
五款扩展中最复杂的是 Software Access,它不仅能窃取 Cookie,还能从 “api.software-access [.] com” 接收被盗的 Cookie,并将其注入浏览器,从而实现直接的会话劫持。此外,它还会保护密码输入框,防止用户查看输入的凭据。
“该功能会从服务器载荷中解析 Cookie,删除目标域名的现有 Cookie,然后遍历提供的 Cookie 数组,使用 chrome.cookies.set () 逐个注入。”Socket 表示。“这会将受害者的身份验证状态直接安装到威胁 actor 的浏览器会话中。”
值得注意的是,所有五款扩展都包含一个完全相同的 23 个安全相关 Chrome 扩展列表,例如 EditThisCookie、Cookie-Editor、ModHeader、Redux DevTools 和 SessionBox。它们会监控这些扩展的存在并向威胁 actor 发送告警。
Socket 认为,这很可能是为了判断浏览器是否安装了可能干扰其 Cookie 窃取目标或暴露其行为的工具。此外,五款扩展共享相同的扩展 ID 列表,这意味着它们要么来自同一威胁 actor(使用不同发布者账号),要么使用了同一个工具包。
Chrome 用户如果安装了上述任何插件,应立即从浏览器中删除,并重置密码,同时检查是否存在来自陌生 IP 或设备的未授权访问。
“持续的凭据窃取、管理界面阻断和会话劫持相结合,会导致安全团队即使检测到未授权访问,也无法通过正常渠道进行补救。”Socket 警告说。

Socket 威胁研究团队揭露了一场针对企业环境的新型、高度复杂的攻击活动。五款伪装成生产力工具的恶意 Google Chrome 扩展被发现正在窃取身份验证令牌并劫持用户会话,目标涵盖 Workday、NetSuite、SAP SuccessFactors 等主流企业平台。
这些恶意扩展包括 DataByCloud Access、Data By Cloud 1、Data By Cloud 2、Tool Access 11 和 Software Access,累计安装量已超过 2,300 名用户。它们表面上承诺简化工作流程、提供 “高级工具”,实则用于渗透企业网络并削弱安全响应能力。
攻击者为恶意软件披上了专业、合法的外衣。这些扩展拥有精致的控制面板,并请求看似正常的权限,不会立即引起怀疑。
“这些扩展将自己伪装成生产力工具,声称能简化企业平台的访问流程…… 主要针对需要在多个账号间切换或追求更快工作流的用户。”
然而,在这层伪装之下,是一个协调一致的恶意软件运营。Socket 的分析显示,这些工具共享完全相同的代码结构、API 端点和安全工具检测列表,表明它们来自同一威胁 actor。

攻击链:三大恶意技术协同入侵

该攻击活动采用三种核心技术来攻陷账号并维持长期控制:

1. Cookie 窃取(Cookie Exfiltration)

这些扩展会持续收集会话令牌。例如,DataByCloud Access 会提取名为 _session 的 Cookie,并每隔 60 秒 将其发送到攻击者的 C2 服务器
“这确保即使用户在正常工作流程中登出并重新登录,威胁 actor 仍能保持对最新令牌的掌控。”

2. 会话劫持(Session Hijacking)

Software Access 扩展更进一步,实现了双向 Cookie 注入。它会从攻击者服务器获取被盗的凭证,并将其直接注入受害者浏览器,从而绕过多因素认证(MFA)
“Software Access 的双向 Cookie 注入完全绕过了身份验证要求,使攻击者无需密码即可访问被攻陷的账号。”

3. 阻断安全响应(Blocking Incident Response)

最阴险的功能是它们能够让安全团队 “失明”。例如 Data By Cloud 2Tool Access 11 会主动监控并阻止访问关键管理页面。
“这些阻断型扩展会造成‘遏制失效’场景。安全团队即使发现了可疑活动…… 但所有标准的补救措施都会被阻断。”
被阻断的页面包括:
  • 密码修改表单
  • 双因素认证设备管理
  • 安全审计日志
当管理员试图访问这些页面时,扩展会立即清空内容并进行重定向,使安全人员无法进入自己的管理界面。

反检测机制(Anti-Detection)

恶意软件作者还加入了多种反研究机制。部分变体使用 DisableDevtool 库阻止代码检查,并通过 “RegExp toString 篡改” 检测调试器是否处于激活状态。
“没有任何合法扩展会阻止用户查看自己的密码字段,也不会阻止开发者工具打开。这些功能的存在只有一个目的:隐藏恶意行为。”

影响与建议

通过攻陷员工日常使用的工具,攻击者可以绕过边界防护,直接访问敏感的 HR 与 ERP 数据。企业被建议立即:
  • 审查浏览器扩展策略
  • 调查是否安装了上述恶意插件
  • 限制员工随意安装扩展
  • 加强对会话令牌和 Cookie 的监控