La Fuerza Laboral Troyana de Chrome: Extensiones Maliciosas Imitan a Gigantes de Nómina para Robar Cuentas Corporativas

Imagina esto: estás iniciando sesión en el portal de RRHH de tu empresa para revisar tus beneficios o aprobar una solicitud de vacaciones. Sin que lo sepas, una extensión de Chrome aparentemente útil acecha en segundo plano, extrayendo silenciosamente tus credenciales de acceso, bloqueando los intentos de rescate de tu equipo de TI y allanando el camino para que los ciberdelincuentes tomen el control de tu cuenta. Esto no es un escenario extremo; es la escalofriante realidad descubierta por investigadores de seguridad, quienes han expuesto una campaña coordinada de extensiones de Chrome que se hacen pasar por herramientas empresariales de confianza como Workday y NetSuite.

Datos Rápidos

• Cinco extensiones de Chrome se hicieron pasar por herramientas de RRHH/ERP, apuntando a usuarios de Workday, NetSuite y SuccessFactors.
• Las extensiones exfiltraban cookies de autenticación, bloqueaban páginas de administración de seguridad y permitían la toma de control de cuentas.
• Se registraron más de 2,300 instalaciones antes de ser eliminadas de Chrome Web Store - aún disponibles en sitios de terceros.
• La mayoría de las extensiones cifraban el tráfico de comando y control y evadían la inspección de código deshabilitando las herramientas de desarrollador.
• Se insta a las víctimas a desinstalar las extensiones, restablecer contraseñas y revisar las cuentas en busca de accesos sospechosos.

Dentro del Ataque: Cómo las Extensiones Falsas Secuestraron Cuentas Corporativas

La operación parece sacada de un manual de cibercrimen, ejecutada con una precisión inquietante. Investigadores de Socket descubrieron cinco extensiones de Chrome - DataByCloud Access, Tool Access 11, DataByCloud 1, DataByCloud 2 y Software Access - que se hacían pasar por potenciadores de productividad para las principales plataformas de RRHH y ERP. Con nombres y marcas diseñados para infundir una falsa sensación de seguridad, estas extensiones se infiltraron en más de 2,300 navegadores, apuntando a usuarios en el corazón mismo del entorno laboral moderno.

Una vez instaladas, las extensiones solicitaban de inmediato amplios permisos en los dominios de Workday, NetSuite y SuccessFactors - obteniendo acceso a cookies, scripts del navegador e incluso controles de gestión. Su misión principal: robar tokens de autenticación y exfiltrarlos a servidores controlados por los atacantes cada 60 segundos. Esto permitía a los ciberdelincuentes suplantar a las víctimas, eludiendo por completo contraseñas y la autenticación en dos pasos mediante el secuestro de sesiones.

Pero el ataque no se detenía en el robo. Para asegurar su persistencia, extensiones como Tool Access 11 y DataByCloud 2 saboteaban activamente la respuesta a incidentes. Manipulando el Modelo de Objetos del Documento (DOM), bloqueaban el acceso a hasta 56 páginas administrativas cruciales - deshabilitando el restablecimiento de contraseñas, la desactivación de cuentas y el acceso a los registros de seguridad. Los equipos de seguridad, incluso si detectaban actividad sospechosa, se encontraban digitalmente esposados.

La más avanzada del grupo, Software Access, llevó la amenaza aún más lejos: podía inyectar cookies de autenticación robadas directamente en el navegador del atacante, recreando al instante la sesión de la víctima y otorgando acceso total a datos sensibles de la empresa. Y para evitar ser detectadas, estas extensiones monitoreaban la presencia de 23 herramientas de seguridad populares - posiblemente alertando a los atacantes si el terreno no estaba despejado.

A pesar de haber sido retiradas de Chrome Web Store, la mayoría de estas extensiones siguen disponibles en sitios de terceros como Softonic, lo que representa un riesgo continuo. El uso de código e infraestructura idénticos en la campaña sugiere firmemente la existencia de un solo actor de amenazas - o al menos un kit de herramientas compartido - detrás de la operación.

La Lección: Cuando las Herramientas de Seguridad se Convierten en Caballos de Troya

Esta historia es un recordatorio contundente de que incluso las extensiones de navegador de confianza pueden transformarse en sofisticados vectores de ataque. A medida que las organizaciones dependen cada vez más de plataformas de RRHH y ERP en la nube, los atacantes apuntan a las mismas herramientas que mantienen a las empresas en funcionamiento. Para usuarios y equipos de TI por igual, la vigilancia es clave: desinstala extensiones sospechosas, restablece credenciales y monitorea cualquier actividad no autorizada. La próxima vez que un complemento de Chrome prometa magia en productividad, recuerda: algunos caballos de Troya visten traje y corbata.

WIKICROOK

• Secuestro de Sesión: El secuestro de sesión ocurre cuando un atacante roba o imita la sesión de un usuario para obtener acceso no autorizado y actuar como ese usuario en línea.
• Token de Autenticación: Un token de autenticación es una clave digital que verifica tu identidad ante aplicaciones o servicios, permitiendo el acceso seguro sin volver a ingresar tu contraseña.
• Comando: Un comando es una instrucción enviada a un dispositivo o software, a menudo por un servidor C2, que le indica realizar acciones específicas, a veces con fines maliciosos.
• Modelo de Objetos del Documento (DOM): El DOM es una estructura en forma de árbol que representa el contenido de una página web, la cual puede ser modificada por scripts o extensiones de navegador maliciosas.
• Inyección de Cookies: La inyección de cookies ocurre cuando los atacantes colocan cookies robadas en un navegador para secuestrar sesiones e impersonar usuarios, eludiendo los controles de autenticación.