Các chuyên gia an ninh mạng phát hiện nhiều Chrome extensions độc hại trên Chrome Web Store giả mạo công cụ quản lý công việc hoặc công cụ bảo mật dành cho các nền tảng HR và ERP doanh nghiệp như Workday, NetSuite và SAP SuccessFactors. Thay vì hỗ trợ người dùng, các tiện ích này bí mật đánh cắp thông tin xác thực hoặc chặn truy cập vào các trang quản lý dữ liệu, gây cản trở quá trình xử lý sự cố.

Chiến dịch này được phát hiện với ít nhất 5 tiện ích liên quan, tổng số lượt cài đặt hơn 2.300. Phân tích cho thấy đây là một chiến dịch có tổ chức, dù các tiện ích được phát hành dưới nhiều tên và nhà phát triển khác nhau, nhưng lại dùng chung hạ tầng, mã nguồn và danh sách mục tiêu.

Theo chuyên gia an ninh mạng, các extension này triển khai ba kỹ thuật tấn công chính: trích xuất cookie xác thực gửi về máy chủ điều khiển (C2), can thiệp DOM để chặn các thông báo bảo mật, và tiêm cookie hai chiều nhằm chiếm quyền đăng nhập trực tiếp. Đặc biệt, chúng liên tục đánh cắp cookie có tên “__session”, vốn chứa token đăng nhập hợp lệ, và gửi ra ngoài mỗi 60 giây, cho phép attacker duy trì quyền truy cập ngay cả khi người dùng đăng xuất.

Một số tiện ích như Tool Access 11 và Data By Cloud 2 còn chặn hàng chục tab quản trị quan trọng trong Workday, bao gồm quy trình xác thực, cấu hình bảo mật, quản lý IP, 2FA và nhật ký audit. Việc này có thể khiến quản trị viên không thể phản ứng kịp thời khi xảy ra sự cố an ninh.

Nguy hiểm nhất là extension Software Access, cho phép attacker không chỉ lấy cắp mà còn tiêm cookie từ xa vào trình duyệt nạn nhân. Cơ chế này giúp chiếm quyền tài khoản ngay lập tức mà không cần username, mật khẩu hay mã MFA, mở đường cho các cuộc tấn công quy mô lớn như ransomware và data theft.

Người dùng từng cài đặt các extension nói trên được khuyến cáo thông báo ngay cho bộ phận bảo mật, đồng thời đổi mật khẩu và kiểm tra lại hoạt động đăng nhập trên các nền tảng doanh nghiệp liên quan.