Une extension malveillante sur Chrome vole l'authentification à

Des chercheurs en sécurité de Socket ont détecté une extension malveillante sur le navigateur Chrome, appelée "CL Suite by @CLMasters", qui se présente comme un outil utile pour gérer les données du Meta Business Manager. Au lieu de cela, elle vole des informations extrêmement sensibles, telles que des codes d'authentification à deux facteurs (2FA).

L'extension était disponible publiquement sur le Chrome Web Store, la boutique officielle d'extensions de Google Chrome, ce qui soulève des inquiétudes concernant la sécurité des outils disponibles pour les utilisateurs.

Fonctionnement de l'extension

Une extension de navigateur est un petit programme qui ajoute des fonctionnalités supplémentaires à la plateforme. Pour fonctionner, elle a besoin de permissions pour accéder à certains contenus des sites visités, ce qui représente un risque potentiel pour la sécurité.

L'extension malveillante était promue comme une solution pour "extraire des données, analyser les Business Managers, supprimer les pop-ups de vérification et générer des codes 2FA". Elle demandait un accès complet aux domaines meta.com et facebook.com.

Les tableaux de bord administratifs comme le Meta Business Suite et le Facebook Business Manager sont utilisés par des organisations pour gérer leur présence sur les réseaux sociaux. Toute extension capable d'accéder à ces outils possède un accès à des données d'entreprise précieuses.

Les cibles les plus courantes des extensions promettant des facilités sont les professionnels du marketing numérique, les gestionnaires de médias sociaux et les analystes de performances, qui recherchent des outils pour faciliter l'exportation d'informations.

Détails de l'extension

L'extension a été publiée sous le pseudonyme CLMasters et est sortie le 1er mars 2025, ayant été mise à jour pour la dernière fois le 6 mars 2025. Bien qu'elle n'ait eu que 28 installations au moment de la découverte, les victimes risquent de perdre le contrôle sur leurs actifs d'entreprise.

Le développeur de l'extension affirmait que les secrets de 2FA étaient stockés localement et non envoyés vers des serveurs externes. Cependant, l'analyse a révélé que l'extension envoyait tout le contenu à getauth.pro, y compris des graines TOTP (Time-based One-Time Password), des codes actuels et des données de connexion.

Le rôle des graines TOTP

En activant l'authentification à deux facteurs, l'utilisateur scanne un code QR qui contient une "graines" TOTP, la clé secrète qui génère des codes à six chiffres. La sécurité de cette méthode dépend de la protection de la graine ; si elle est compromise, la protection du 2FA est rompue.

Infrastructure de l'attaque

Le code de l'extension comprenait des URLs fixes pour l'exfiltration de données, la validation et les notifications. Tous les utilisateurs utilisaient le même jeton d'authentification, et le système collectait l'adresse IP publique de la victime.

Des tests ont confirmé l'activité de l'infrastructure, qui avait un certificat TLS valide, indiquant un entretien. Le code collectait des données en modules et les envoyait vers Telegram, privilégiant l'invisibilité à la transparence.

Détail du vol de 2FA

Après avoir généré le TOTP, le module envoyait des paquets avec la graine complète, le code actuel à six chiffres, l'identifiant Facebook et l'e-mail du compte, permettant aux criminels de synchroniser leurs générateurs de code avec ceux des victimes.

De plus, le code de l'extension signalait l'utilisation du générateur à getauth.pro sans le consentement de la victime.

Extraction de contacts

Le module "People Extractor" compilait les données des collaborateurs lorsque l'utilisateur accédait à la section "People" du Business Manager, extrayant des informations telles que des noms et des e-mails, et les envoyant aux criminels sous prétexte d'une exportation pratique.

Collecte d'analyses et de détails de paiement

Un autre module réalisait des collectes silencieuses d'informations sur les identifiants des Business Managers, des comptes publicitaires et des méthodes de paiement, permettant aux criminels d'obtenir un aperçu de l'infrastructure financière des victimes.

Utilisations possibles des données volées

La combinaison de ces informations permet des fraudes sur les campagnes publicitaires, des tentatives de phishing ciblant les employés et le détournement d'actifs. Malgré la désinstallation de l'extension, les données sensibles restent entre les mains des criminels, nécessitant des mesures de sécurité strictes de la part des victimes.

À la date de publication, l'extension était toujours disponible sur le Chrome Web Store, représentant un risque continu pour de nouveaux utilisateurs. La sécurité en ligne requiert une attention constante, surtout en ce qui concerne des outils qui semblent utiles.