I cyber criminali stanno installando localmente un’estensione per manipolare i dati nelle applicazioni web interne a cui le vittime hanno accesso. L’approccio utilizzato prevede l’iniezione diretta di estensioni dannose di Google Chrome sui computer Windows delle vittime tramite l’abuso della funzione di sincronizzazione cloud di Google.
La campagna è stata identificata da Bojan Zdrnja, che scrive per il SANS Institute, che ha lavorato sull’incidente.
“Ho avuto il piacere (o meno) di lavorare su un altro incidente in cui, tra le altre cose, gli aggressori utilizzavano un modo piuttosto nuovo di esfiltrare i dati e di utilizzare quel canale per la comunicazione C&C. Alcuni dei metodi osservati nel codice analizzato erano piuttosto spaventosi, dal punto di vista di un difensore, come vedrai più avanti in questo diario”, comunica l’esperto.
Secondo Zdrnja, gli aggressori stanno installando direttamente estensioni dannose sui computer degli obiettivi invece di caricarle sul Chrome Web Store e attendere che le vittime le scarichino. Il componente aggiuntivo dannoso è camuffato da “Forcepoint Endpoint Chrome Extension per Windows” e gli attaccanti utilizzano illegittimamente il logo della società di sicurezza.
L’obiettivo della campagna è manipolare i dati nelle applicazioni web interne a cui le vittime hanno accesso.
L’analisi non descrive in dettaglio come sia stata effettuata la compromissione iniziale, tuttavia, gli attaccanti “in realtà hanno limitato le attività su questa workstation a quelle relative alle applicazioni web, il che spiega perché hanno abbandonato solo ‘’estensione dannosa di Chrome e non altri file binari”, ha spiegato il ricercatore. “Detto questo, ha anche senso: oggi quasi tutto è gestito tramite un’applicazione web, che si tratti del CRM interno, del sistema di gestione dei documenti, del sistema di gestione dei diritti di accesso o di qualcos’altro”, conclude l’esperto.
https://threatpost.com/fake-forcepoint-google-chrome-extension-hacks/163728/