ส่วนขยาย Chrome ขโมยข้อมูลประจำตัวพุ่งเป้าแพลตฟอร์ม HR ขององค์กร

พบส่วนขยาย Chrome ที่เป็นอันตรายบน Chrome Web Store ซึ่งปลอมแปลงเป็นเครื่องมือเพิ่มประสิทธิภาพและเครื่องมือรักษาความปลอดภัยสำหรับแพลตฟอร์ม HR และ ERP ขององค์กร ส่วนขยายเหล่านี้ถูกออกแบบมาเพื่อขโมยข้อมูลรับรองการยืนยันตัวตน หรือบล็อกหน้าการจัดการที่ใช้ในการตอบสนองต่อเหตุการณ์ด้านความปลอดภัย การรณรงค์โจมตีนี้ถูกค้นพบโดยบริษัท Socket ซึ่งระบุส่วนขยาย Chrome ที่เป็นอันตราย 5 รายการที่พุ่งเป้าไปที่ Workday, NetSuite และ SAP SuccessFactors โดยมีการติดตั้งรวมกว่า 2,300 ครั้ง

Severity: วิกฤต

System Impact:

• Google Chrome (เบราว์เซอร์)
• Chrome Web Store (แพลตฟอร์มการเผยแพร่ส่วนขยาย)
• Workday (แพลตฟอร์ม HR และ ERP ขององค์กร)
• NetSuite (แพลตฟอร์ม ERP ขององค์กร)
• SAP SuccessFactors (แพลตฟอร์ม HR และ ERP ขององค์กร)

Technical Attack Steps:

1. แฮกเกอร์เผยแพร่ส่วนขยาย Chrome ที่เป็นอันตรายบน Chrome Web Store โดยปลอมแปลงเป็นเครื่องมือเพิ่มประสิทธิภาพหรือเครื่องมือรักษาความปลอดภัยสำหรับแพลตฟอร์ม HR และ ERP ขององค์กร
2. ผู้ใช้งานองค์กรดาวน์โหลดและติดตั้งส่วนขยายเหล่านี้ (รวมกว่า 2,300 ครั้ง) โดยเชื่อว่าเป็นเครื่องมือที่ถูกต้อง
3. ส่วนขยายจะดำเนินการโจมตีสามรูปแบบหลัก:
4. – การขโมยคุกกี้: ส่วนขยายจะดึงคุกกี้การยืนยันตัวตน (ชื่อ ‘__session’) ที่มีโทเค็นการล็อกอินที่ใช้งานอยู่สำหรับ Workday, NetSuite และ SuccessFactors อย่างต่อเนื่อง ทุก 60 วินาที และส่งไปยังเซิร์ฟเวอร์ควบคุม (C2) ระยะไกล
5. – การบล็อกหน้าการจัดการความปลอดภัย: ส่วนขยาย (เช่น Tool Access 11 และ Data By Cloud 2) จะบล็อกการเข้าถึงหน้าการจัดการความปลอดภัยและหน้าการตอบสนองต่อเหตุการณ์ภายใน Workday โดยการลบเนื้อหาหรือเปลี่ยนเส้นทางผู้ดูแลระบบ
6. – การฉีดคุกกี้แบบสองทิศทาง (โดยส่วนขยาย Software Access): ส่วนขยายสามารถรับคุกกี้ที่ถูกขโมยจากเซิร์ฟเวอร์ C2 ของผู้โจมตีและฉีดเข้าสู่เบราว์เซอร์โดยตรง เพื่อยึดเซสชันที่ผ่านการยืนยันตัวตนแล้วโดยไม่ต้องใช้ชื่อผู้ใช้ รหัสผ่าน หรือรหัสยืนยันตัวตนแบบหลายปัจจัย (MFA)
7. การขโมยข้อมูลประจำตัวและการยึดเซสชันเหล่านี้ช่วยให้ผู้โจมตีสามารถเข้าถึงแพลตฟอร์ม HR/ERP ที่เป็นเป้าหมายได้อย่างต่อเนื่อง และอาจนำไปสู่การโจมตีแรนซัมแวร์หรือการขโมยข้อมูลขนาดใหญ่ได้

Recommendations:

Short Term:

• แจ้งผู้ดูแลระบบความปลอดภัยขององค์กรเกี่ยวกับเหตุการณ์ที่อาจเกิดขึ้น
• เปลี่ยนรหัสผ่านบนแพลตฟอร์ม Workday, NetSuite, SAP SuccessFactors และแพลตฟอร์มองค์กรอื่นๆ ที่เกี่ยวข้องทันที
• ลบส่วนขยาย Chrome ที่ระบุว่าไม่ปลอดภัยออกจากเบราว์เซอร์ทั้งหมด

Long Term:

• เพิ่มความระมัดระวังและฝึกอบรมพนักงานเกี่ยวกับการดาวน์โหลดและติดตั้งส่วนขยายเบราว์เซอร์ โดยเฉพาะอย่างยิ่งที่อ้างว่าเป็นเครื่องมือสำหรับแพลตฟอร์มองค์กร
• ใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับการเข้าถึงแพลตฟอร์มองค์กรทั้งหมด เพื่อเพิ่มชั้นความปลอดภัย
• ตรวจสอบและตรวจสอบส่วนขยายเบราว์เซอร์ที่พนักงานติดตั้งอย่างสม่ำเสมอในสภาพแวดล้อมขององค์กร
• ใช้โซลูชันด้านความปลอดภัยของปลายทาง (Endpoint Security) ที่สามารถตรวจจับและบล็อกส่วนขยายที่เป็นอันตราย
• กำหนดนโยบายความปลอดภัยที่เข้มงวดสำหรับการติดตั้งส่วนขยายเบราว์เซอร์ในอุปกรณ์ขององค์กร

Source: https://www.bleepingcomputer.com/news/security/credential-stealing-chrome-extensions-target-enterprise-hr-platforms/