Extensión maliciosa en Chrome roba 2FA del Meta Business Manager
TL;DR
Investigadores de seguridad de Socket han identificado una extensión maliciosa en el navegador Chrome, llamada "CL Suite by @CLMasters", que se disfraza como
Investigadores de seguridad de Socket han identificado una extensión maliciosa en el navegador Chrome, llamada "CL Suite by @CLMasters", que se disfraza como una herramienta útil para gestionar datos del Meta Business Manager. En lugar de eso, roba información extremadamente sensible de las víctimas, como códigos de autenticación de dos factores (2FA).
La extensión estaba disponible públicamente en la Chrome Web Store, la tienda oficial de extensiones de Google Chrome, lo que aumenta la preocupación sobre la seguridad de las herramientas disponibles para los usuarios.
Funcionamiento de la extensión
Una extensión de navegador es un pequeño programa que añade funcionalidades adicionales a la plataforma. Para funcionar, necesitan permisos para acceder a ciertos contenidos de los sitios visitados, lo que representa un riesgo potencial de seguridad.
La extensión maliciosa se publicitaba como una solución para "extraer datos, analizar Business Managers, eliminar pop-ups de verificación y generar códigos 2FA". Solicitaba acceso amplio a los dominios meta.com y facebook.com.
Los paneles administrativos como el Meta Business Suite y el Facebook Business Manager son utilizados por organizaciones para gestionar su presencia en redes sociales. Cualquier extensión que logre acceder a estas herramientas tiene acceso a datos empresariales valiosos.
Los objetivos más comunes de las extensiones que prometen facilidades son los profesionales de marketing digital, gestores de redes sociales y analistas de rendimiento, que buscan herramientas para facilitar la exportación de información.
Detalles de la extensión
La extensión fue publicada bajo el seudónimo CLMasters y salió el día 1 de marzo de 2025, siendo actualizada por última vez el 6 de marzo de 2025. A pesar de tener solo 28 instalaciones en el momento del descubrimiento, las víctimas corren el riesgo de perder el control sobre activos corporativos.
El desarrollador de la extensión afirmaba que los secretos de 2FA eran almacenados localmente y no enviados a servidores externos. Sin embargo, el análisis reveló que la extensión enviaba todo el contenido a getauth.pro, incluyendo semillas TOTP (Time-based One-Time Password), códigos actuales y datos de inicio de sesión.
El papel de las semillas TOTP
Al activar la autenticación de dos factores, el usuario escanea un código QR que contiene una "semilla" TOTP, la clave secreta que genera códigos de seis dígitos. La seguridad de este método depende de la protección de la semilla; si se ve comprometida, la protección del 2FA se rompe.
Infraestructura del ataque
El código de la extensión incluía URLs fijas para exfiltrar datos, validaciones y notificaciones. Todos los usuarios utilizaban un mismo token de autenticación, y el sistema recogía la IP pública de la víctima.
Pruebas confirmaron la actividad de la infraestructura, que tenía un certificado TLS válido, indicando mantenimiento. El código recopilaba datos en módulos y los enviaba a Telegram, priorizando la invisibilidad sobre la transparencia.
Robo de 2FA detallado
Después de generar el TOTP, el módulo enviaba paquetes con la semilla completa, el código actual de seis dígitos, el identificador de Facebook y el correo electrónico de la cuenta, permitiendo que los criminales sincronizasen sus generadores de código con los de las víctimas.
Además, el código de la extensión notificaba el uso del generador para getauth.pro sin el consentimiento de la víctima.
Extracción de contactos
El módulo "People Extractor" compilaba datos de colaboradores cuando el usuario accedía a la sección "People" del Business Manager, extrayendo información como nombres y correos electrónicos, y enviándola a los criminales bajo el pretexto de una exportación conveniente.
Recolección de análisis y detalles de pago
Otro módulo realizaba colecciones silenciosas de información sobre IDs de Business Managers, cuentas publicitarias y métodos de pago, permitiendo que los criminales obtuvieran un panorama de la infraestructura financiera de las víctimas.
Posibles usos de los datos robados
La combinación de esta información permite fraudes en campañas publicitarias, phishing dirigido a empleados y secuestro de activos. A pesar de la desinstalación de la extensión, los datos sensibles permanecen en manos de los criminales, exigiendo acciones de seguridad rigurosas por parte de las víctimas.
A la fecha de publicación, la extensión continuaba disponible en la Chrome Web Store, representando un riesgo continuo para nuevos usuarios. La seguridad en línea exige atención constante, especialmente en lo que respecta a herramientas aparentemente útiles.
Contenido seleccionado y editado con asistencia de IA. Fuentes originales referenciadas arriba.
