Extensions malicioses de Google Chrome utilitzades per al robatori d’informació corporativa
S’han identificat múltiples extensions malicioses per a Google Chrome orientades al robatori d’informació sensible en entorns empresarials. Estes extensions estan sent utilitzades com a vector d’atac per a comprometre comptes corporatius i accedir de forma no autoritzada a plataformes crítiques de gestió de recursos humans i finances, com Workday, NetSuite i SuccessFactors.
Les extensions es presenten com a ferramentes aparentment legítimes, però una vegada instal·lades permeten als atacants segrestar sessions actives i exfiltrar informació confidencial sense necessitat de disposar de credencials addicionals. Este tipus d’amenaces reforça la tendència creixent de l’abús del navegador com a superfície d’atac en organitzacions amb un alt ús d’aplicacions SaaS.
Anàlisi
Les extensions malicioses detectades incorporen funcionalitats avançades que permeten als atacants comprometre la seguretat dels entorns corporatius. Entre les capacitats observades s’inclouen:
- Robatori de tokens d’autenticació i cookies de sessió, que faciliten el segrest de comptes corporatius.
- Accés persistent a aplicacions empresarials sense requerir autenticació addicional.
- Manipulació del DOM del navegador, que permet ocultar alertes o desactivar controls de seguretat visibles per a l’usuari.
- Exfiltració d’informació cap a infraestructures controlades pels atacants.
Durant l’anàlisi es van identificar comunicacions amb els següents dominis utilitzats com a servidors de comandament i control:
- api. databycloud[.] com
- api.software- access[.] com
Estes extensions estan dissenyades específicament per a entorns empresarials, on l’impacte del compromís pot ser elevat a causa de l’accés directe a informació financera, de recursos humans i operativa.
Recursos afectats
Les extensions malicioses identificades inclouen, entre altres:
- DataByCloud Access
- Tool Access 11
- Software Access
El risc és especialment alt en organitzacions que no disposen de polítiques restrictives sobre extensions de navegador o de mecanismes de monitoratge específics del comportament del navegador.
Impacte
El segrest de comptes corporatius mitjançant esta tipus d’extensions pot derivar en:
- Fraus interns.
- Filtració d’informació confidencial.
- Accés no autoritzat a nòmines i dades sensibles d’empleats.
- Operacions no autoritzades en plataformes empresarials crítiques.
- Compromís de la confidencialitat, integritat i disponibilitat de la informació.
L’impacte potencial s’incrementa en organitzacions amb baixa conscienciació del personal i sense controls tècnics sobre l’ús d’extensions.
Recomanacions
Atesa la naturalesa d’esta amenaça, es recomana adoptar les mesures de seguretat següents:
- Auditar periòdicament les extensions instal·lades en els navegadors corporatius.
- Aplicar polítiques de restricció i control de programari, limitant la instal·lació d’extensions no autoritzades.
- Utilitzar solucions EDR/ XDR amb visibilitat del navegador.
- Reforçar la conscienciació del personal sobre els riscos associats a extensions aparentment legítimes.
En cas d’haver-se detectat alguna d’estes extensions en l’entorn:
- Eliminar immediatament l’extensió maliciosa.
- Restablir les contrasenyes dels comptes potencialment compromesos.
- Revisar accessos i activitats sospitoses.
- Verificar l’estat i la integritat dels comptes afectats.
Referències
https://unaaldia.hispasec.com/2026/01/alerta-por-extensiones-de-chrome-que-roban-informacion-sensible-de-empresas.html