Cinq extensions malveillantes sur Google Chrome ont été découvertes, se faisant passer pour des outils professionnels comme Workday, NetSuite et SuccessFactors. Leur objectif : voler des identifiants, détourner des sessions utilisateurs, et bloquer les capacités de réponse face aux incidents de cybersécurité. Si vous recherchez des informations sur des extensions Chrome piratées, la sécurité informatique des outils RH ou comment identifier les pièges dans les navigateurs, cet article vous dévoile tous les détails de cette campagne malveillante ciblée.
Des extensions Chrome abusivement identifiées comme outils RH et ERP
Les cinq extensions incriminées
C’est le chercheur en sécurité Kush Pandya, de l’entreprise Socket, qui a levé le voile sur une campagne ciblant les plateformes RH et ERP. Les extensions suivantes, toutes sous couverture d’outils de productivité professionnels, ont été identifiées comme malveillantes :
- DataByCloud Access – 251 installations
- Tool Access 11 – 101 installations
- DataByCloud 1 – 1 000 installations
- DataByCloud 2 – 1 000 installations
- Software Access – 27 installations
Toutes, à l’exception de Software Access, ont été retirées du Chrome Web Store, mais restent disponibles sur des sites tiers comme Softonic. Les utilisateurs de plateformes professionnelles telles que Workday ou NetSuite sont les cibles principales.
Fonctionnement précis des extensions
Une fois installées, les extensions demandent des autorisations d’accès très intrusives : cookies, scripting, stockage et gestion des pages sur les domaines ciblés. Elles collectent ensuite les cookies d’authentification toutes les 60 secondes et les envoient vers un serveur distant contrôlé par les attaquants (api.databycloud[.]com).
Une attaque rigoureusement organisée en plusieurs étapes
Détournement de sessions et blocage des accès administratifs
Ces extensions fonctionnent ensemble pour effectuer ce qui est appelé un hijacking de session. Elles interceptent les cookies, empêchent les utilisateurs d’accéder aux interfaces de sécurité de l’entreprise, et injectent ensuite les sessions dans les navigateurs des pirates. L’extension Tool Access 11 empêche l’accès à 44 pages administratives de Workday, y compris la gestion des proxys de sécurité, la configuration des IP ou la gestion des sessions.
De son côté, DataByCloud 2 va plus loin en bloquant jusqu’à 56 pages critiques, comme celles liées à la réinitialisation des mots de passe ou à la désactivation des comptes. Ces extensions ciblent les environnements de production et de test (notamment le domaine workdaysuv[.]com).
Fonctions supplémentaires d’évasion et d’obfuscation
DataByCloud 1 utilise le script open-source DisableDevtool pour bloquer les outils de développement du navigateur, empêchant ainsi les analystes ou les développeurs en cybersécurité de comprendre ses mécanismes. Le trafic avec le serveur de commande (C2) est chiffré, rendant la détection encore plus complexe.
Enfin, l’extension Software Access est la plus sophistiquée. Elle vole les cookies, les reçoit via l’API api.software-access[.]com, et les injecte directement dans le navigateur de l’attaquant grâce à chrome.cookies.set(). Cela permet de lancer une session comme si elle était légitimement authentifiée.
Une approche ciblée des outils de cybersécurité
Un filtrage proactif des extensions de sécurité
Les cinq extensions partagent une liste commune de 23 extensions de sécurité Chrome (comme EditThisCookie, ModHeader ou SessionBox). Elles les surveillent pour s’assurer qu’aucun outil ne puisse interférer avec le vol de données via navigateur. Cette approche suggère une œuvre coordonnée, pilotée par un seul groupe de cybercriminels ou via un kit de développement malveillant partagé.
Une menace réelle pour les entreprises
La combinaison du vol d’identifiants, des manipulations DOM et du blocage des interfaces critiques crée une situation où les équipes de sécurité informatique peuvent détecter une intrusion, sans pouvoir y remédier efficacement. Les intrusions deviennent invisibles et persistantes.
Pour ceux qui souhaitent apprendre à hacker de manière éthique afin de mieux défendre les systèmes, notre livre pour apprendre le hacking aborde les techniques utilisées dans ce type d’attaques complexes, y compris la manipulation du DOM, le vol de cookies et l’injection de sessions.
Mesures à prendre pour sécuriser son système
Recommandations de sécurité
Les utilisateurs ayant installé l’une des extensions citées doivent immédiatement les désactiver et les supprimer. Il est également recommandé de modifier les mots de passe, activer l’authentification multi-facteur (2FA), et surveiller les connexions suspectes depuis des adresses IP inconnues.
Détection et réponse aux incidents
Pour aider les entreprises à se défendre contre ce type d’attaques ciblées via navigateur, il est recommandé de mettre en place une surveillance des extensions installées, d’analyser les flux HTTP sortants, et d’utiliser des solutions capables de détecter les comportements anormaux au sein des sessions web.
CyberCare accompagne ses clients dans la mise en place de défenses contre les attaques via navigateur et propose une gamme de services pour renforcer la cybersécurité face aux menaces modernes.
