خمس إضافات خبيثة على كروم تنتحل منصات Workday وNetSuite لسرقة الحسابات

إضافة PasteReady تتحول إلى أداة لنشر البرمجيات الخبيثة بعد بيعها

كشف باحثون في الأمن السيبراني عن خمس إضافات خبيثة جديدة على متصفح Google Chrome، تنتحل هوية منصات الموارد البشرية وإدارة المؤسسات مثل Workday وNetSuite وSuccessFactors، بهدف السيطرة الكاملة على حسابات الضحايا عبر سرقة بيانات الدخول وتنفيذ هجمات استيلاء على الجلسات.

تفاصيل الحملة الخبيثة

الإضافات التي تم رصدها هي:

DataByCloud Access – 251 عملية تثبيت
Tool Access 11 – 101 عملية تثبيت
DataByCloud 1 – 1,000 عملية تثبيت
DataByCloud 2 – 1,000 عملية تثبيت
Software Access – 27 عملية تثبيت

جميع هذه الإضافات، باستثناء “Software Access”، أُزيلت من متجر كروم، لكنها ما تزال متاحة عبر مواقع تحميل طرف ثالث مثل Softonic. وقد رُوّج لها على أنها أدوات إنتاجية تمنح وصولاً إلى منصات مؤسسية كبرى.

آلية عمل الإضافات

وفق تقرير شركة Socket، تعمل هذه الإضافات بشكل منسق لتحقيق أهداف متعددة:

سرقة ملفات تعريف الارتباط (Cookies) وإرسالها إلى خوادم المهاجمين كل 60 ثانية.
حجب صفحات الإدارة الأمنية عبر التلاعب بشجرة DOM، مما يمنع فرق الأمن من الوصول إلى إعدادات المصادقة أو إدارة النطاقات.
تنفيذ هجمات استيلاء على الجلسات عبر حقن ملفات تعريف الارتباط المسروقة في المتصفح.

على سبيل المثال، إضافة Tool Access 11 تمنع الوصول إلى 44 صفحة إدارية في Workday، بينما توسع DataByCloud 2 هذه القائمة إلى 56 صفحة تشمل وظائف حساسة مثل تغيير كلمات المرور، إدارة الأجهزة الثنائية (2FA)، وتعطيل الحسابات.

خصائص متقدمة في Software Access

تُعد إضافة Software Access الأكثر تطوراً، إذ تجمع بين سرقة ملفات تعريف الارتباط وإمكانية حقنها مباشرة في جلسة المتصفح، مما يمنح المهاجم وصولاً فورياً إلى حسابات الضحايا. كما تحتوي على آلية لحماية حقول إدخال كلمات المرور، لمنع المستخدمين من فحص بيانات الاعتماد.

مؤشرات على حملة منسقة

جميع الإضافات الخمس تشترك في قائمة متطابقة تضم 23 إضافة أمنية شهيرة مثل EditThisCookie وCookie-Editor وRedux DevTools، حيث تُستخدم هذه القائمة لرصد وجود أدوات قد تكشف نشاطها أو تعيق عملية سرقة الكوكيز. هذا التشابه يعزز فرضية أن الحملة منسقة، إما من جهة تهديد واحدة أو عبر استخدام مجموعة أدوات مشتركة.