Extensao maliciosa no Chrome rouba 2FA do Meta Business Manager
TL;DR
Pesquisadores de segurança da Socket identificaram uma extensão maliciosa no navegador Chrome que disfarça-se como uma ferramenta para gerenciar dados do Meta
Pesquisadores de segurança da Socket identificaram uma extensão maliciosa no navegador Chrome, chamada "CL Suite by @CLMasters", que se disfarça como uma ferramenta útil para gerenciar dados do Meta Business Manager. Em vez disso, ela rouba informações extremamente sensíveis das vítimas, como códigos de autenticação de dois fatores (2FA).
A extensão estava disponível publicamente na Chrome Web Store, a loja oficial de extensões do Google Chrome, o que aumenta a preocupação sobre a segurança de ferramentas disponíveis para usuários.
Funcionamento da extensão
Uma extensão de navegador é um pequeno programa que adiciona funcionalidades extras à plataforma. Para funcionar, elas precisam de permissões para acessar determinados conteúdos dos sites visitados, o que representa um potencial risco de segurança.
A extensão maliciosa era propagandeada como uma solução para "extrair dados, analisar Business Managers, remover pop-ups de verificação e gerar códigos 2FA". Ela solicitava acesso amplo aos domínios meta.com e facebook.com.
Os painéis administrativos como o Meta Business Suite e o Facebook Business Manager são utilizados por organizações para administrar suas presenças em redes sociais. Qualquer extensão que consiga acessar essas ferramentas possui acesso a dados empresariais valiosos.
Os alvos mais comuns de extensões que prometem facilidades são os profissionais de marketing digital, gestores de mídias sociais e analistas de desempenho, que buscam ferramentas para facilitar a exportação de informações.
Detalhes da extensão
A extensão foi publicada sob o pseudônimo CLMasters e saiu no dia 1º de março de 2025, sendo atualizada pela última vez em 6 de março de 2025. Apesar de ter apenas 28 instalações no momento da descoberta, as vítimas correm o risco de perder controle sobre ativos corporativos.
O desenvolvedor da extensão afirmava que os segredos de 2FA eram armazenados localmente e não enviados para servidores externos. No entanto, a análise revelou que a extensão enviava todo o conteúdo para getauth.pro, incluindo sementes TOTP (Time-based One-Time Password), códigos atuais e dados de login.
O papel das sementes TOTP
Ao ativar a autenticação de dois fatores, o usuário escaneia um código QR que contém uma "semente" TOTP, a chave secreta que gera códigos de seis dígitos. A segurança desse método depende da proteção da semente; se ela for comprometida, a proteção do 2FA é quebrada.
Infraestrutura do ataque
O código da extensão incluía URLs fixas para exfiltração de dados, validação e notificações. Todos os usuários utilizavam um mesmo token de autenticação, e o sistema coletava o IP público da vítima.
Testes confirmaram a atividade da infraestrutura, que tinha um certificado TLS válido, indicando manutenção. O código coletava dados em módulos e os enviava para o Telegram, priorizando a invisibilidade sobre a transparência.
Roubo de 2FA detalhado
Após gerar o TOTP, o módulo enviava pacotes com a semente completa, o código atual de seis dígitos, o identificador do Facebook e o e-mail da conta, permitindo que os criminosos sincronizassem seus geradores de código com os das vítimas.
Além disso, o código da extensão noticiava o uso do gerador para getauth.pro sem o consentimento da vítima.
Extração de contatos
O módulo "People Extractor" compilava dados de colaboradores quando o usuário acessava a seção "People" do Business Manager, extraindo informações como nomes e e-mails, e enviando-as aos criminosos sob o pretexto de uma exportação conveniente.
Coleta de análises e detalhes de pagamento
Outro módulo realizava coletas silenciosas de informações sobre IDs de Business Managers, contas publicitárias e métodos de pagamento, permitindo que os criminosos obtivessem um panorama da infraestrutura financeira das vítimas.
Possíveis usos dos dados roubados
A combinação dessas informações permite fraudes em campanhas publicitárias, phishing direcionado a funcionários e sequestro de ativos. Apesar da desinstalação da extensão, os dados sensíveis permanecem nas mãos dos criminosos, exigindo ações de segurança rigorosas por parte das vítimas.
Na data de publicação, a extensão continuava disponível na Chrome Web Store, representando um risco contínuo para novos usuários. A segurança online demanda atenção constante, especialmente em relação a ferramentas aparentemente úteis.
Conteudo selecionado e editado com assistencia de IA. Fontes originais referenciadas acima.
