Beş Zararlı Chrome Uzantısı Workday ve NetSuite Hesaplarını Hedefliyor

Anasayfa » Beş Zararlı Chrome Uzantısı Workday ve NetSuite Hesaplarını Hedefliyor
SaaS Güvenliği, Tarayıcı Güvenliği, Zararlılar
Ocak 21, 2026Ocak 21, 2026Tarafından Cybernews.TR
0
Beş Zararlı Chrome Uzantısı Workday ve NetSuite Hesaplarını Hedefliyor

Saldırının Genel Çerçevesi

Workday, NetSuite ve SuccessFactors gibi kurumsal SaaS platformlarını hedef alan beş zararlı Chrome uzantısı, kimlik doğrulama çerezlerini çalmak ve oturum kaçırma yoluyla tam hesap ele geçirme sağlamak amacıyla koordineli şekilde faaliyet gösteriyor. Bu uzantılar, 18 Ağustos 2021’den itibaren piyasaya sürülmüş ve özellikle DataByCloud serisi ile Software Access varyantı dikkat çekiyor. Zararlılar, Chrome Web Mağazası’ndan kaldırılmış olsa da Softonic gibi üçüncü taraf platformlarda hâlâ erişilebilir durumda.

Saldırı Zinciri ve Teknik Detaylar

Uzantılar, kullanıcıların tarayıcılarında yönetim sayfalarını engellemek, DOM manipülasyonu ile kritik güvenlik arayüzlerini devre dışı bırakmak ve kimlik doğrulama çerezlerini her dakika uzak sunucuya iletmek gibi yöntemler kullanıyor. DataByCloud Access ve türevleri, Workday ve NetSuite alan adları üzerinde geniş izinler talep ederek çerezleri toplayıp “api.databycloud[.]com” adresine gönderiyor. Tool Access 11 ve DataByCloud 2, yönetim sayfalarına erişimi engelleyerek şifre değişikliği, 2FA yönetimi ve güvenlik denetim günlüklerine erişimi kısıtlıyor. Software Access ise çalınan çerezleri “api.software-access[.]com” üzerinden alıp doğrudan tarayıcıya enjekte ederek oturum kaçırmayı kolaylaştırıyor. Ayrıca parola giriş alanlarını incelemeyi engelleyen koruma mekanizmaları içeriyor.

Hangi Sistemler Risk Altında?

Özellikle kurumsal SaaS platformları kullanan şirketler, insan kaynakları ve finans yönetimi gibi kritik iş süreçlerine erişim sağlayan Workday, NetSuite ve SuccessFactors kullanıcıları risk altında. Bu uzantılar, hem üretim hem de test ortamlarını hedef alarak geniş bir etki alanı oluşturuyor. Türkiye dahil olmak üzere global ölçekte SaaS tabanlı iş uygulamalarını kullanan kurumlar için tehdit oluşturuyor.

Siber Güvenlik Ekipleri İçin Öneriler

Bu tehditlere karşı kurumların aşağıdaki önlemleri alması önerilir:

  • Tarayıcı uzantılarının düzenli olarak incelenmesi ve şüpheli uzantıların derhal kaldırılması.
  • Kritik SaaS platformlarına erişimde çok faktörlü kimlik doğrulama (MFA) zorunlu kılınması.
  • EDR ve SIEM sistemlerinde çerez hırsızlığı ve oturum kaçırma göstergelerinin izlenmesi.
  • Tarayıcı tabanlı güvenlik politikalarının (örneğin, uzantı izinlerinin kısıtlanması) uygulanması.
  • Güvenlik proxy ve IAM çözümlerinin yönetim arayüzlerine erişimi denetleyecek şekilde yapılandırılması.
  • Olay müdahale ekiplerinin, DOM manipülasyonu ve uzantı tabanlı engellemeleri tespit edecek logları aktif tutması.
  • Kullanıcıların şifrelerini düzenli olarak değiştirmeleri ve olağandışı oturum açma aktivitelerini takip etmeleri.

Teknik Özet

  • Kullanılan zararlılar: DataByCloud Access, Tool Access 11, DataByCloud 1 & 2, Software Access.
  • Hedef platformlar: Workday, NetSuite, SuccessFactors.
  • Saldırı teknikleri: Çerez hırsızlığı, DOM manipülasyonu, oturum kaçırma, geliştirici araçlarının engellenmesi.
  • Kampanya yapısı: Farklı yayıncılar altında koordineli operasyon, ortak C2 altyapısı ve şifreli iletişim.
  • Önerilen savunma: MFA, EDR kural güncellemeleri, uzantı izinlerinin kısıtlanması, düzenli güvenlik denetimleri.

Bu zararlı uzantılar, EditThisCookie, Cookie-Editor, ModHeader gibi güvenlik odaklı diğer uzantıları da izleyerek kendi varlıklarını gizlemeye çalışıyor. Bu durum, saldırganların uzantı davranışlarını tespit eden güvenlik araçlarını etkisizleştirmeye yönelik gelişmiş bir taktik olarak değerlendirilebilir.

, , , , , , ,