sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Tony Hawk’s Pro Skater 3 + 4 de graça, EA Sports FC 26 baratinho e mais! Veja as indicações de games da semana
5 de julho de 2026
Família procura por homem desaparecido há quatro dias em Bragança Paulista
5 de julho de 2026
Tudo sobre Witch Hat Atelier, anime de fantasia que conquistou muitos fãs
5 de julho de 2026
Temperaturas despencam durante a semana no interior de SP
5 de julho de 2026
domingo, julho 5, 2026
Top Posts
Tony Hawk’s Pro Skater 3 + 4 de...
Família procura por homem desaparecido há quatro dias...
Tudo sobre Witch Hat Atelier, anime de fantasia...
Temperaturas despencam durante a semana no interior de...
Brasil mira fim de tabus contra Noruega e...
Novo Alpine A110 elétrico tem bateria dividida para...
Epic Games libera novo jogo grátis no celular!...
Brasil enfrenta a Noruega hoje pelas oitavas de...
Crunchyroll chega ao app Apple TV
obra na rede de esgoto vai modernizar sistema...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Tony Hawk’s Pro Skater 3 + 4 de graça, EA Sports FC 26 baratinho e mais! Veja as indicações de games da semana
5 de julho de 2026
Família procura por homem desaparecido há quatro dias em Bragança Paulista
5 de julho de 2026
Tudo sobre Witch Hat Atelier, anime de fantasia que conquistou muitos fãs
5 de julho de 2026
Temperaturas despencam durante a semana no interior de SP
5 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Tony Hawk’s Pro Skater 3 + 4 de graça, EA Sports FC 26 baratinho e mais! Veja as indicações de games da semana
5 de julho de 2026
Família procura por homem desaparecido há quatro dias em Bragança Paulista
5 de julho de 2026
Tudo sobre Witch Hat Atelier, anime de fantasia que conquistou muitos fãs
5 de julho de 2026
Temperaturas despencam durante a semana no interior de SP
5 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

5 extensões maliciosas do Chrome atacam empresas e bloqueiam equipes de segurança

por SampaNews 23 de janeiro de 2026
23 de janeiro de 2026
55

Pesquisadores da Socket.dev descobriram cinco extensões maliciosas do Chrome que trabalham em conjunto para executar ataques sofisticados contra ambientes corporativos. 

As ferramentas se passam por soluções de produtividade para plataformas empresariais como Workday, NetSuite e SuccessFactors, mas na verdade roubam tokens de autenticação, bloqueiam a resposta a incidentes e permitem o sequestro completo de contas.

smart_display

Nossos vídeos em destaque

Quatro das extensões foram publicadas sob o nome “databycloud1104”, enquanto a quinta opera sob a marca “softwareaccess”. Embora pareçam vir de desenvolvedores diferentes, todas compartilham infraestrutura idêntica, revelando uma operação coordenada. Juntas, já atingiram mais de 2.300 usuários em empresas ao redor do mundo.

Armadilha das ferramentas de produtividade

As extensões usam descrições convincentes para atrair vítimas desavisadas. A DataByCloud 2 apresenta um painel polido prometendo “ferramentas premium” para Workday e NetSuite, com cartões de conta exibindo valores em dólares e botões de acesso que sugerem funcionalidades legítimas para gerenciar múltiplas contas empresariais.

Já a Tool Access 11 se vende como um recurso de segurança que ajuda a “restringir acesso a ferramentas especiais” e “limitar interações dos usuários” para proteger contas. A descrição posiciona a extensão como uma salvaguarda para administradores ou equipes de compliance que desejam controlar o que usuários finais podem modificar.

Anúncio da extensão parece verídico, com design limpo e mil downloads, ferramenta dos criminosos passa confiança. Imagem: Socket.dev.

As políticas de privacidade afirmam falsamente que “não coletarão ou usarão seus dados”, apesar das extensões implementarem roubo abrangente de credenciais e interferência em respostas a incidentes.

Três tipos de ataque em uma campanha

O que torna essa campanha particularmente perigosa é a combinação de três estratégias distintas de ataque executadas simultaneamente pelas extensões.

As extensões DataByCloud Access e Data By Cloud 1 são responsáveis pelo roubo direto de cookies de autenticação. A cada 60 segundos, essas ferramentas extraem cookies chamados “__session” que contêm tokens de autenticação para as plataformas empresariais. 

Mesmo quando usuários fazem logout e login novamente durante fluxos normais de trabalho, as extensões capturam os novos tokens e os enviam para servidores controlados pelos atacantes.

O código de extração é idêntico em todas as extensões que roubam cookies, incluindo detalhes como a sintaxe da função, o operador de encadeamento opcional e até o nome específico do cookie alvo. Essa uniformidade no código não ocorre de forma independente, provando coordenação entre os desenvolvedores.

Já as extensões Tool Access 11 e Data By Cloud 2 executam uma função ainda mais sinistra. Elas manipulam a estrutura das páginas web para bloquear o acesso a 44 e 56 interfaces administrativas de segurança, respectivamente. Um observador de mutações monitora o DOM a cada 50 milissegundos para reaplicar o bloqueio se o conteúdo da página mudar.

Quando a extensão detecta que o usuário navegou para uma página bloqueada, ela apaga todo o conteúdo definindo document.body.innerHTML como uma string vazia, depois força um redirecionamento para uma URL malformada com extensão inválida, produzindo uma página de erro em vez de permitir acesso à interface administrativa legítima.

Bloqueio de resposta a incidentes

A Data By Cloud 2 amplia significativamente a lista de bloqueios do Tool Access 11, adicionando 12 páginas críticas que equipes de segurança usariam para conter uma violação. Entre as páginas bloqueadas estão funções essenciais de resposta a incidentes.

A página “Alterar Senha” é bloqueada para impedir que usuários ou administradores troquem credenciais comprometidas. Depois que as extensões de roubo de cookies exfiltram tokens de autenticação, elas bloqueiam mudanças de senha para garantir que os tokens roubados permaneçam válidos indefinidamente.

A função “Desativar Contas Workday” impede equipes de segurança de bloquear contas comprometidas durante resposta a incidentes. Administradores tentando desativar a conta de um usuário afetado encontrarão uma página em branco e um loop de redirecionamento.

O bloqueio de “Gerenciar Dispositivos Confiáveis” impede a remoção de dispositivos controlados por atacantes que possam ter sido adicionados usando credenciais roubadas. As páginas “Ver Histórico de Login” e “Revisar Histórico de Autenticação” eliminam a visibilidade de padrões de login que revelariam acesso não autorizado.

A extensão também bloqueia a página “Editar Configuração do Tenant – Segurança”, impedindo mudanças de configuração de segurança em todo o sistema. Administradores não conseguem modificar políticas de segurança, requisitos de autenticação ou controles em nível de tenant para mitigar acesso contínuo.

Sequestro de sessão bidirecional

A quinta extensão, Software Access, implementa o ataque mais sofisticado ao combinar roubo de cookies com manipulação bidirecional. Enquanto as outras extensões apenas exfiltram cookies, a Software Access também recebe credenciais roubadas do servidor de comando e controle e as injeta no navegador.

O mecanismo de injeção recebe dados de cookies como JSON do servidor e usa a função chrome.cookies.set() para instalá-los. O fluxo de ataque funciona assim: instâncias da extensão em sistemas comprometidos extraem tokens de sessão e os enviam para o servidor.

O servidor armazena esses tokens em um banco de dados indexado por conta, organização e plataforma.

Quando um navegador controlado pelo atacante com a extensão solicita acesso a uma conta específica, o servidor responde com a carga de cookies roubados. A extensão injeta os cookies e o atacante imediatamente ganha acesso autenticado às contas Workday, NetSuite ou SuccessFactors da vítima sem nunca ver uma tela de login. 

Isso elimina completamente os requisitos de autenticação e permite contornar autenticação multifator usando sessões já autenticadas.

Mecanismos anti-análise

As extensões Data By Cloud 1 e Software Access incluem a biblioteca DisableDevtool para impedir inspeção de código. Essa biblioteca implementa múltiplos métodos de detecção que identificam quando as ferramentas de desenvolvedor estão abertas e as bloqueiam ou fecham automaticamente.

As técnicas incluem modificação do toString de RegExp, que explora diferenças em como console.log se comporta quando DevTools está aberto versus fechado. A biblioteca também usa defineProperty com funções getter que só executam durante inspeção de propriedades, permitindo detectar quando o código está sendo examinado.

A Software Access adiciona uma camada adicional especificamente direcionada a campos de entrada de senha. A cada segundo, o código localiza todos os campos de senha e anexa um observador de mutações a cada um. Se um usuário tentar mudar o tipo de input de password para text através da inspeção do DevTools, o observador detecta a mudança de atributo e imediatamente reverte.

Nenhuma extensão legítima implementa mecanismos para impedir que usuários inspecionem seus próprios campos de senha ou bloqueiam ferramentas de desenvolvedor. Essas capacidades existem apenas para esconder comportamento malicioso durante análise de segurança ou investigação do usuário.

Infraestrutura descartável

Ambos os domínios de comando e controle mostram sinais de infraestrutura descartável em vez de operações comerciais legítimas. Tentar acessar software-access.com produz uma falha de handshake SSL com código de erro 525 do Cloudflare, indicando que o servidor de origem tem um certificado SSL inválido, está mal configurado ou não está mais respondendo.

O domínio databycloud.com retorna erro 404 Not Found, confirmando que nenhum site existe no domínio raiz. Apesar disso, as extensões se comunicam ativamente com api.databycloud.com para exfiltrar tokens de autenticação.

A ausência de sites funcionais em ambos os domínios raiz é consistente com infraestrutura descartável usada por extensões maliciosas. Provedores legítimos de software empresarial mantêm sites de produtos, documentação, portais de suporte e informações da empresa em seus domínios primários. 

As extensões referenciam esses domínios em suas descrições e solicitações de permissão, mas nenhum produto ou serviço real está hospedado.

Evidências de campanha coordenada

Apesar de usar publicadores diferentes, as cinco extensões compartilham assinaturas idênticas que provam coordenação entre os desenvolvedores.

Todas monitoram exatamente as mesmas 23 ferramentas de segurança do Chrome, incluindo extensões obscuras que atacantes independentes jamais escolheriam. A estrutura de servidores também é uniforme: api.[domínio].com/api/v1/mv3, indicando arquitetura backend comum.

O mais revelador é a divisão de tarefas. Cada extensão tem um papel específico na cadeia de ataque: umas roubam cookies, outras bloqueiam respostas de segurança e a última injeta sessões roubadas. Essa especialização só ocorre em operações planejadas, não em ataques independentes.

As versões progressivas (de 1.4 a 3.3) mostram desenvolvimento contínuo ao longo dos anos, com recursos cada vez mais sofisticados sendo adicionados.

Alvos de alto valor

A escolha das plataformas corporativas é estratégica. Workday, NetSuite e SuccessFactors gerenciam dados sensíveis de grandes empresas.

Além das plataformas empresariais, as extensões monitoram 170 domínios incluindo GitHub, AWS, Azure e registros npm. Comprometer credenciais de desenvolvedores abre caminho para ataques à cadeia de suprimentos de software.

A lista inclui ainda sites de conteúdo adulto, criando oportunidades de chantagem ao combinar histórico de navegação com dados financeiros e corporativos das vítimas.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Polícia apreende 37 quilos de cocaína em caminhão em Campinas
próxima postagem
Novo residencial do Minha Casa, Minha Vida começa obras em Bragança Paulista

Você também pode gostar

Tony Hawk’s Pro Skater 3 + 4 de...

5 de julho de 2026

Tudo sobre Witch Hat Atelier, anime de fantasia...

5 de julho de 2026

Epic Games libera novo jogo grátis no celular!...

5 de julho de 2026

Crunchyroll chega ao app Apple TV

5 de julho de 2026

POSTS MAIS RECENTES

  • Tony Hawk’s Pro Skater 3 + 4 de graça, EA Sports FC 26 baratinho e mais! Veja as indicações de games da semana
  • Família procura por homem desaparecido há quatro dias em Bragança Paulista
  • Tudo sobre Witch Hat Atelier, anime de fantasia que conquistou muitos fãs
  • Temperaturas despencam durante a semana no interior de SP
  • Brasil mira fim de tabus contra Noruega e europeus em Copas do Mundo

Siga-nos

  • Recente
  • Popular
  • Tony Hawk’s Pro Skater 3 + 4 de graça, EA Sports FC 26 baratinho e mais! Veja as indicações de games da semana

    5 de julho de 2026
  • Família procura por homem desaparecido há quatro dias em Bragança Paulista

    5 de julho de 2026
  • Tudo sobre Witch Hat Atelier, anime de fantasia que conquistou muitos fãs

    5 de julho de 2026
  • Temperaturas despencam durante a semana no interior de SP

    5 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Novo Alpine A110 elétrico tem bateria dividida para...

5 de julho de 2026

Epic Games libera novo jogo grátis no celular!...

5 de julho de 2026

Brasil enfrenta a Noruega hoje pelas oitavas de...

5 de julho de 2026

Crunchyroll chega ao app Apple TV

5 de julho de 2026

obra na rede de esgoto vai modernizar sistema...

5 de julho de 2026

Leitura obrigatória

  • Tony Hawk’s Pro Skater 3 + 4 de graça, EA Sports FC 26 baratinho e mais! Veja as indicações de games da semana

    5 de julho de 2026
  • Família procura por homem desaparecido há quatro dias em Bragança Paulista

    5 de julho de 2026
  • Tudo sobre Witch Hat Atelier, anime de fantasia que conquistou muitos fãs

    5 de julho de 2026
  • Temperaturas despencam durante a semana no interior de SP

    5 de julho de 2026
  • Brasil mira fim de tabus contra Noruega e europeus em Copas do Mundo

    5 de julho de 2026

Newsletter

Posts relacionados

  • Tony Hawk’s Pro Skater 3 + 4 de graça, EA Sports FC 26 baratinho e mais! Veja as indicações de games da semana

    5 de julho de 2026
  • Tudo sobre Witch Hat Atelier, anime de fantasia que conquistou muitos fãs

    5 de julho de 2026
  • Epic Games libera novo jogo grátis no celular! Resgate agora no Android (05)

    5 de julho de 2026
  • Crunchyroll chega ao app Apple TV

    5 de julho de 2026
  • Melhor aspirador de pó vertical WAP; confira 5 modelos

    5 de julho de 2026

Mais vistas da semana

Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”
22 de janeiro de 2026
Minions & Monstros, Elle e mais! Os lançamentos de filmes e séries da semana (28/06)
28 de junho de 2026
9 melhores filmes e séries para assistir na Netflix em julho
1 de julho de 2026

Postagens Aleatórias

Carro capota após colisão com árvore na Avenida dos Imigrantes, em Bragança Paulista
29 de março de 2026
BYD quer ultrapassar Toyota e tornar-se a maior fabricante de carros do mundo até 2030
12 de junho de 2026
2026 é o novo 2016? Como era o mercado de smartphones uma década atrás
20 de janeiro de 2026

Categorias Populares

  • Tecnologia (5.898)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.042)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.099)
  • Bragança Paulista (1.069)
  • Esporte (775)
  • Saúde (487)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home