top of page

Extensões maliciosas do Chrome se passam por Workday e NetSuite em ataques de account takeover

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • 19 de jan.
  • 2 min de leitura

Pesquisadores identificaram cinco extensões maliciosas do Google Chrome que se disfarçam de plataformas corporativas amplamente utilizadas como Workday, NetSuite e SuccessFactors com o objetivo de assumir o controle de contas de usuários. A descoberta foi feita por pesquisadores da Socket, que classificaram a campanha como altamente coordenada e sofisticada.


Segundo o pesquisador Kush Pandya, as extensões atuam em conjunto para roubar cookies de autenticação, bloquear páginas administrativas de segurança e permitir o sequestro de sessão (session hijacking), resultando em account takeover completo. Embora publicadas sob dois nomes diferentes, a infraestrutura, o código e o comportamento indicam tratar-se de uma única operação conduzida por um mesmo grupo hacker ou, no mínimo, por um toolkit compartilhado.


Extensões identificadas


  • DataByCloud Access – 251 instalações

  • Tool Access 11 – 101 instalações

  • DataByCloud 1 – 1.000 instalações

  • DataByCloud 2 – 1.000 instalações

  • Software Access – 27 instalações


Com exceção da Software Access, todas já foram removidas da Chrome Web Store. Ainda assim, continuam disponíveis em sites de download de terceiros, como o Softonic, o que amplia o risco para usuários corporativos.


As extensões eram anunciadas como ferramentas de produtividade, prometendo acesso facilitado a recursos premium de plataformas de RH e ERP. Uma vez instaladas, solicitavam permissões extensivas incluindo acesso a cookies, scripts, armazenamento e regras de rede nos domínios do Workday, NetSuite e SuccessFactors.


Na prática, o comportamento malicioso incluía:


  • Exfiltração contínua de cookies de autenticação para servidores controlados pelos hackers

  • Manipulação do DOM para apagar conteúdos e redirecionar páginas críticas

  • Bloqueio de interfaces administrativas, como gerenciamento de autenticação, proxies de segurança, controle de sessões, redefinição de senha, 2FA e logs de auditoria

  • Injeção de cookies roubados diretamente no navegador do invasor, clonando a sessão da vítima


A extensão Software Access se destacou como a mais avançada, pois além de roubar cookies, consegue receber cookies de terceiros e injetá-los no navegador, efetivando o sequestro direto da sessão corporativa. Esse método permite que o hacker acesse o ambiente da vítima como se fosse um usuário legítimo, sem necessidade de senha ou autenticação multifator.


Outro ponto relevante é que todas as extensões monitoravam a presença de 23 extensões de segurança populares, como EditThisCookie, ModHeader, Redux DevTools e SessionBox. O objetivo seria identificar se o navegador da vítima possuía ferramentas capazes de revelar ou interferir no roubo de cookies, funcionando como um mecanismo de autoproteção da campanha maliciosa.


Especialistas alertam que usuários que tenham instalado qualquer uma dessas extensões devem removê-las imediatamente, redefinir senhas, revisar acessos suspeitos e validar logs de login por IP e dispositivo. O caso evidencia como extensões de navegador se tornaram um vetor crítico de ataque em ambientes SaaS corporativos, especialmente quando combinam engenharia social, abuso de permissões e técnicas avançadas de evasão.


 
 
Cópia de Cyber Security Brazil_edited.jpg

Cyber Security Brazil desde 2021, atuamos como referência nacional em segurança digital, oferecendo informação confiável, conteúdo especializado e fortalecendo o ecossistema de cibersegurança no Brasil.

Institucional

contato@cybersecbrazil.com.br

(11)97240-7838

INSCREVA SEU EMAIL PARA RECEBER

ATUALIZAÇÕES, POSTS E NOVIDADES

  • RSS
  • Instagram
  • LinkedIn

© 2025 Todos os direitos reservados a Cyber Security Brazil

bottom of page