Cinco extensiones maliciosas de Chrome suplantan Workday y NetSuite para secuestrar cuentas

Investigadores de Socket Security identificaron cinco extensiones maliciosas de Google Chrome diseñadas para suplantar plataformas empresariales de recursos humanos (HR) y planificación de recursos empresariales (ERP) como Workday, NetSuite y SAP SuccessFactors.

El objetivo principal de estas extensiones es el secuestro completo de cuentas corporativas, una amenaza crítica dado el nivel de privilegios que suelen concentrar estas plataformas dentro de las organizaciones.

Funcionalidades maliciosas y control persistente

Las extensiones identificadas —DataByCloud Access, DataByCloud 1, DataByCloud 2, Tool Access 11 y Software Access— implementan un mecanismo de exfiltración agresivo:

• Robo de cookies y tokens de autenticación cada 60 segundos.

• Envío de credenciales a infraestructura controlada por los atacantes, como api.databycloud[.]com.

• Uso de manipulación del DOM para bloquear hasta 56 páginas administrativas críticas.

Entre las secciones deliberadamente inutilizadas se incluyen cambio de contraseña, gestión de autenticación multifactor (2FA), auditorías de seguridad y configuración de rangos IP, impidiendo que los equipos de TI puedan responder a incidentes una vez comprometida la cuenta.

Operación coordinada y evasión defensiva

El análisis histórico revela que las extensiones fueron publicadas desde 2021, aparentemente por dos editores distintos, pero con patrones de código, permisos y comportamiento idénticos, lo que apunta a una operación coordinada y sostenida en el tiempo.

Como parte de su lógica defensiva, las extensiones:

• Solicitan permisos amplios sobre dominios específicos de Workday, NetSuite y SuccessFactors.

• Monitorean la presencia de 23 extensiones legítimas de seguridad, como EditThisCookie o SessionBox, para alertar a los operadores cuando la víctima intenta inspeccionar o proteger su sesión.

La extensión Software Access destaca por una capacidad especialmente peligrosa: inyecta cookies robadas directamente en el navegador del atacante, habilitando un secuestro de sesión completo sin necesidad de credenciales, y protege campos de contraseña para evitar su inspección mediante herramientas de desarrollo.

Estado actual y recomendaciones de mitigación

Cuatro de las cinco extensiones ya fueron retiradas de la Chrome Web Store, pero continúan distribuyéndose a través de repositorios de terceros, incluyendo portales de descarga populares como Softonic, lo que mantiene activo el riesgo de reinfección.

Medidas recomendadas para organizaciones y usuarios

• Desinstalar inmediatamente cualquiera de las extensiones afectadas.

• Auditar periódicamente las extensiones instaladas en navegadores corporativos.

• Restringir permisos de extensiones mediante políticas de navegador (Chrome Enterprise).

• Monitorear tráfico saliente hacia dominios sospechosos asociados a exfiltración de sesiones.

• Revisar accesos y actividades anómalas en plataformas HR y ERP.

Este caso refuerza el rol de las extensiones de navegador como vector crítico de ataque en entornos empresariales y la necesidad de tratarlas como software con impacto directo en la seguridad corporativa.