Cinque estensioni Chrome maligne, pubblicate sotto i nomi databycloud1104 e softwareaccess, hanno aperto un nuovo fronte nel session hijacking browser-based, colpendo direttamente piattaforme enterprise critiche come Workday, NetSuite e SAP SuccessFactors. La minaccia, documentata da analisti indipendenti, non si limita al furto di credenziali ma sfrutta in modo sistematico le autorizzazioni del browser per ottenere accesso persistente agli account, aggirare la 2FA e bloccare qualsiasi tentativo di remediation da parte delle vittime.
Le estensioni incriminate hanno superato complessivamente 2300 installazioni, un numero contenuto in termini assoluti ma sufficiente, in contesti aziendali, a generare rischi sistemici. Il vettore non è il phishing tradizionale né un exploit zero-day, ma un abuso sofisticato del modello di fiducia del Chrome Web Store, dove un’estensione apparentemente legittima può ottenere permessi estesi e agire indisturbata per settimane.
Cosa leggere
Come operano le estensioni databycloud1104 e softwareaccess
Il cuore dell’attacco è l’estrazione periodica dei cookie di sessione __session. Le estensioni interrogano le API del browser ogni 60 secondi, intercettano i token di autenticazione attivi e li inviano a server di comando e controllo remoti. Questo meccanismo consente agli attaccanti di impersonare l’utente senza conoscere password o codici di secondo fattore, rendendo inefficaci molte difese tradizionali.
I domini C2 identificati includono api.databycloud.com e api.software-access.com, che condividono percorsi API comuni come /api/v1/mv3, un dettaglio che suggerisce una codebase unificata o comunque una gestione coordinata dell’infrastruttura. Il traffico viene ulteriormente protetto con cifratura Vigenère, una scelta semplice ma sufficiente a ostacolare analisi superficiali e strumenti automatici.
Le estensioni coinvolte non sono varianti minori di uno stesso componente, ma applicazioni distinte con ID univoci e versioni differenti. Tra queste figurano DataByCloud Access con ID oldhjammhkghhahhhdcifmmlefibciph, Tool Access 11 con ID ijpakghdgckgblfgjobhcfglebbkebf, Data By Cloud 2 con ID makdmacamkifdldldlelollkkjnoiedg, Data By Cloud 1 con ID mbjjeombjeklkbndcjgmfcdhfbjngcam e Software Access con ID bmodapcihjhklpogdpblefpepjolaoij. La frammentazione serve a ridurre la probabilità di detection simultanea e ad ampliare la superficie di diffusione.
🔴 OSSERVATORIO INTELLIGENCE: APT & GEOPOLITICA LIVE
Manipolazione del DOM e blocco della sicurezza
L’aspetto più insidioso di questa campagna non è solo il furto dei cookie, ma la manipolazione attiva del DOM. Le estensioni utilizzano MutationObserver con cicli di controllo ogni 50 millisecondi, intervenendo dinamicamente sulle pagine visitate. In pratica, quando l’utente tenta di accedere a sezioni sensibili come cambio password, gestione 2FA o pannelli amministrativi, il contenuto viene cancellato o alterato, rendendo impossibile completare l’operazione.
Questa tecnica trasforma l’account takeover in un evento persistente. Anche quando l’utente sospetta un problema, il browser stesso diventa un ostacolo alla risposta all’incidente. In contesti enterprise, dove le piattaforme HR ed ERP sono centrali per la gestione di personale, stipendi e processi interni, il blocco delle funzioni di sicurezza equivale a una paralisi operativa.
Software Access e l’iniezione bidirezionale dei cookie
Una delle estensioni, Software Access, introduce un livello ulteriore di sofisticazione con il supporto all’iniezione bidirezionale dei cookie rubati. In questo scenario, l’estensione non si limita a esfiltrare i token, ma rimuove i cookie esistenti dal browser della vittima e inietta quelli controllati dall’attaccante. Il risultato è un takeover completo, in cui la sessione viene forzata su uno stato deciso dal C2.
Questa tecnica permette di ripristinare l’accesso anche dopo logout manuali, rendendo inefficaci le contromisure più immediate. Dal punto di vista difensivo, il comportamento appare anomalo solo a livello di log di sessione, con accessi che possono provenire da IP multipli o con pattern temporali incoerenti.
Anti-analysis e offuscamento
Per ritardare l’analisi e la rimozione, gli sviluppatori delle estensioni hanno integrato la libreria DisableDevtool, che ostacola l’uso degli strumenti di sviluppo del browser. Il codice è ulteriormente protetto da offuscamento con variabili minificate, rendendo più complessa l’ispezione manuale.
Un elemento particolarmente rivelatore è la capacità delle estensioni di rilevare la presenza di 23 estensioni di sicurezza comuni. Questa informazione viene trasmessa ai server C2, suggerendo un modello adattivo in cui gli attaccanti possono modulare il comportamento in base al contesto difensivo dell’utente.
Mappatura MITRE ATT&CK e implicazioni strategiche
Le tecniche osservate si inseriscono chiaramente nel framework MITRE ATT&CK. Il furto dei cookie di sessione rientra in T1539, mentre l’hijacking del browser è riconducibile a T1185. L’uso di estensioni come vettore principale si allinea a T1176.001, che descrive l’abuso di componenti aggiuntivi del browser per l’esecuzione di attività malevole.
Questa mappatura non è solo accademica. Indica che il browser è ormai un endpoint critico al pari di workstation e server. In ambienti enterprise, dove Chrome è spesso standardizzato e sincronizzato tra dispositivi, una singola estensione malevola può propagare l’impatto su più sistemi.
Raccomandazioni operative per utenti e team di sicurezza
Per gli utenti, la priorità è la rimozione immediata delle estensioni coinvolte, seguita dal reset delle password da sistemi puliti e dal controllo accurato dei log di autenticazione. È fondamentale verificare che la sincronizzazione Chrome non reintroduca automaticamente l’estensione su altri dispositivi.
Per i team di sicurezza, l’episodio rafforza la necessità di allowlist rigorose per le estensioni Chrome Enterprise, accompagnate dal blocco dei domini C2 via DNS o proxy. L’audit dei log dovrebbe concentrarsi su sessioni attive da IP differenti e su accessi che persistono nonostante logout o reset delle credenziali. La segnalazione delle estensioni al Chrome Web Store, già avvenuta, è solo una misura di contenimento: la prevenzione strutturale passa dal controllo delle autorizzazioni e dalla riduzione della superficie d’attacco del browser.
Domande frequenti sulle estensioni Chrome maligne
Perché queste estensioni sono più pericolose di un classico phishing?
Perché non rubano solo le credenziali, ma intercettano direttamente i cookie di sessione, consentendo accesso agli account senza password e aggirando la 2FA. Inoltre bloccano le funzioni di sicurezza, impedendo la risposta all’incidente.
Il cambio password è sufficiente a neutralizzare l’attacco?
No. Finché l’estensione rimane installata, può riestrarre i cookie o reiniettarli. Il cambio password va effettuato solo dopo la rimozione dell’estensione e da un sistema pulito.
Come possono i team enterprise prevenire attacchi simili?
Attraverso allowlist di estensioni approvate, monitoraggio dei log di sessione, blocco dei domini C2 e controlli periodici sulle autorizzazioni del browser. Il browser va trattato come un endpoint critico.
Queste estensioni possono colpire anche utenti non enterprise?
Sì, ma l’impatto è maggiore in contesti enterprise perché le piattaforme colpite gestiscono dati sensibili e processi critici. Tuttavia, qualsiasi account basato su cookie di sessione può essere compromesso con tecniche simili.
