Πέντε συντονισμένες κακόβουλες επεκτάσεις του Chrome έχουν αναδειχθεί ως εξελιγμένη απειλή για την ασφάλεια των επιχειρήσεων, στοχεύοντας ευρέως χρησιμοποιούμενους ανθρώπινους πόρους και οικονομικές πλατφόρμες που χρησιμοποιούνται από χιλιάδες οργανισμούς παγκοσμίως.
Αυτές οι επεκτάσεις λειτουργούν σε συνεννόηση για να κλέψουν διακριτικά ελέγχου ταυτότητας, να απενεργοποιήσουν τους ελέγχους ασφαλείας και να ενεργοποιήσουν την πλήρη ανάληψη λογαριασμού μέσω παραβίασης περιόδων σύνδεσης.
Η καμπάνια επηρεάζει το Workday, το NetSuite και το SuccessFactors – κρίσιμα συστήματα όπου τα τμήματα ανθρώπινου δυναμικού και οι οικονομικές ομάδες διαχειρίζονται ευαίσθητα δεδομένα εργαζομένων και εταιρείας.
Οι φορείς απειλών δημοσιεύουν τέσσερις επεκτάσεις με το όνομα databycloud1104, ενώ μια πέμπτη επέκταση λειτουργεί με διαφορετική επωνυμία που ονομάζεται πρόσβαση στο λογισμικό, αλλά μοιράζεται πανομοιότυπα πρότυπα υποδομής και μηχανισμούς επίθεσης.
Σε συνδυασμό, αυτές οι επεκτάσεις έχουν φτάσει σε περισσότερους από 2.300 χρήστες σε εταιρικά περιβάλλοντα.
Η συντονισμένη ανάπτυξη επιδεικνύει προσεκτικό σχεδιασμό, με κάθε επέκταση να υπηρετεί έναν συγκεκριμένο ρόλο σε μια ολοκληρωμένη στρατηγική επίθεσης που έχει σχεδιαστεί για να συντρίψει τις τυπικές άμυνες ασφαλείας.
Αναλυτές Socket.dev αναγνωρισθείς αυτές οι επεκτάσεις μέσω ανάλυσης κώδικα που αποκάλυψε κρυφή κακόβουλη λειτουργικότητα παρά τους παραπλανητικούς ισχυρισμούς μάρκετινγκ.
Η ερευνητική ομάδα ανακάλυψε ότι αυτές οι επεκτάσεις εμπορεύονται ως νόμιμα εργαλεία παραγωγικότητας που εξορθολογίζουν την πρόσβαση σε πολλούς λογαριασμούς, ενώ στην πραγματικότητα κλέβουν διαπιστευτήρια και εμποδίζουν τις ομάδες ασφαλείας να ανταποκρίνονται σε επιθέσεις.
Η πιο επικίνδυνη δυνατότητα περιλαμβάνει αμφίδρομη ένεση cookie που υλοποιείται από την επέκταση Software Access.
Αυτή η τεχνική επιτρέπει στους φορείς απειλών να εισάγουν κλεμμένα cookie ελέγχου ταυτότητας απευθείας στα δικά τους προγράμματα περιήγησης, παρέχοντας άμεση πρόσβαση σε λογαριασμούς θυμάτων χωρίς να απαιτούν κωδικούς πρόσβασης ή παρακάμπτοντας προστασίες ελέγχου ταυτότητας πολλαπλών παραγόντων.
Άλλες επεκτάσεις εξάγουν συνεχώς διακριτικά περιόδου λειτουργίας κάθε 60 δευτερόλεπτα, διασφαλίζοντας ότι οι εισβολείς διατηρούν τα τρέχοντα διαπιστευτήρια ακόμα και όταν οι χρήστες αποσυνδέονται και επανέρχονται κατά τη διάρκεια κανονικών επιχειρηματικών λειτουργιών.
Μηχανισμός μόλυνσης και εμμονή μέσω διοικητικού αποκλεισμού
Αυτές οι επεκτάσεις χρησιμοποιούν έναν εξελιγμένο μηχανισμό μόλυνσης που συνδυάζει κλοπή διαπιστευτηρίων με στοχευμένο αποκλεισμό διοικητικής διεπαφής για την αποφυγή απόκρισης περιστατικού.
![Το databycloud[.]Ο τομέας com εμφανίζει σφάλμα 404 Not Found (Πηγή - Socket.dev)](https://techreport.gr/wp-content/uploads/2026/01/The databycloud[.]com domain shows a 404 Not Found error (Source - Socket.dev).webp.jpeg "5 κακόβουλες επεκτάσεις Chrome που επιτίθενται σε πλατφόρμες ανθρώπινου δυναμικού και ERP επιχειρήσεων για πλήρη εξαγορά")
Η επίθεση λειτουργεί μέσω χειρισμού DOM, όπου οι επεκτάσεις παρακολουθούν συνεχώς το περιεχόμενο της σελίδας και διαγράφουν αμέσως τις σελίδες διαχείρισης ασφαλείας όταν οι χρήστες προσπαθούν να αποκτήσουν πρόσβαση σε αυτές.
Το Tools Access 11 αποκλείει 44 σελίδες διαχείρισης εντός του Workday, ενώ το Data By Cloud 2 το επεκτείνει σε 56 σελίδες, συμπεριλαμβανομένων κρίσιμων λειτουργιών όπως αλλαγές κωδικού πρόσβασης, απενεργοποίηση λογαριασμού, διαχείριση συσκευής ελέγχου ταυτότητας πολλαπλών παραγόντων και αρχεία καταγραφής ελέγχου ασφαλείας.
![Η πρόσβαση στο λογισμικό[.]Ο τομέας com επιστρέφει ένα σφάλμα χειραψίας SSL (Πηγή - Socket.dev)](https://techreport.gr/wp-content/uploads/2026/01/The software-access[.]com domain returns an SSL handshake error (Source - Socket.dev).webp.jpeg "5 κακόβουλες επεκτάσεις Chrome που επιτίθενται σε πλατφόρμες ανθρώπινου δυναμικού και ERP επιχειρήσεων για πλήρη εξαγορά")
Ο μηχανισμός αποκλεισμού λειτουργεί μέσω συνεχούς παρακολούθησης χρησιμοποιώντας λειτουργίες MutationObserver που ελέγχουν τη σελίδα κάθε 50 χιλιοστά του δευτερολέπτου.
Όταν οι διαχειριστές επιχειρούν επαναφορά κωδικού πρόσβασης ή απενεργοποιούν τους παραβιασμένους λογαριασμούς, οι επεκτάσεις αντικαθιστούν ολόκληρο το περιεχόμενο της σελίδας με κενό χώρο και ανακατευθύνουν τους χρήστες σε εσφαλμένες διευθύνσεις URL.
Αυτό δημιουργεί ένα σενάριο αποτυχίας περιορισμού όπου οι ομάδες ασφαλείας μπορούν να ανιχνεύσουν μη εξουσιοδοτημένη πρόσβαση, αλλά δεν μπορούν να εφαρμόσουν τυπικές διαδικασίες αποκατάστασης, αναγκάζοντας τους οργανισμούς είτε να επιτρέπουν μόνιμη μη εξουσιοδοτημένη πρόσβαση είτε να μετεγκαταστήσουν τους επηρεαζόμενους χρήστες σε εντελώς νέους λογαριασμούς.
