Extensão maliciosa no Chrome rouba códigos 2FA e dados de empresas no Facebook
Uma extensão maliciosa para o navegador Chrome, disfarçada de ferramenta de produtividade para o Meta Business Suite, está sendo usada para roubar sementes de autenticação de dois fatores (2FA) e dados confidenciais de gerenciamento de negócios. A ameaça, identificada como "CL Suite by @CLMasters", permanece disponível na Chrome Web Store e visa especificamente ambientes de administração do Facebook Business Manager, colocando contas publicitárias de alto valor em risco de sequestro.
Da ferramenta útil ao infostealer
Comercializada como uma utilidade para "extrair dados de pessoas, analisar Business Managers, remover popups de verificação e gerar códigos 2FA", a extensão solicita permissões amplas sobre os domínios meta.com e facebook.com. Sua política de privacidade alega que os segredos 2FA e os dados do Business Manager permanecem locais no navegador. No entanto, uma análise técnica conduzida pelos pesquisadores de ameaças da Socket revelou que o componente se comporta como um infostealer, abusando sistematicamente das funcionalidades que anuncia para coletar segredos de autenticação e inteligência de negócios de sessões administrativas autenticadas.
O mecanismo de roubo de autenticação
O problema mais grave está no modo como a extensão lida com a autenticação de dois fatores para contas do Facebook e Meta Business. Quando os usuários confiam em seu gerador de 2FA integrado, o CL Suite captura a semente TOTP (Time-based One-Time Password) e o código de seis dígitos atual. O nome de usuário e e-mail associados do Facebook são então enviados para uma infraestrutura controlada pelos atacantes no domínio getauth[.]pro, com a opção de encaminhá-los para um canal no Telegram.
Com a posse da semente e de um código válido e carimbado no tempo, os atacantes podem continuar a gerar códigos 2FA funcionantes indefinidamente. Isso facilita significativamente o sequestro de contas uma vez que senhas ou canais de recuperação sejam obtidos por meio de infostealers ou vazamentos de credenciais.
Espionagem empresarial estruturada
A extensão também tem como alvo agressivamente os dados do Meta Business Manager. Uma funcionalidade de extração de "Pessoas" coleta a visualização "Pessoas" do Business Manager, constrói arquivos CSV com nomes, endereços de e-mail, funções, status e níveis de acesso, e exfiltrar silenciosamente esses CSVs para o mesmo backend, frequentemente marcados para encaminhamento no Telegram.
Outro componente de análise enumera IDs do Business Manager, contas de anúncios vinculadas, páginas conectadas e configurações de faturamento ou pagamento, fornecendo aos atacantes um mapa completo dos ativos do negócio e de como o orçamento de publicidade é financiado. Mesmo com uma base de instalação limitada, essa visibilidade é suficiente para identificar alvos bem-sucedidos e planejar atividades subsequentes de fraude ou tomada de conta.
Recomendações e mitigação
De acordo com a pesquisa da Socket, organizações que utilizam o Meta Business ou Facebook Business Manager devem auditar extensões do navegador, remover o CL Suite e tratar as contas afetadas como comprometidas. As etapas recomendadas incluem:
- Reconfigurar a autenticação de dois fatores com novos segredos (sementes TOTP).
- Revisar as funções e membros no Business Manager.
- Monitorar o tráfego de rede para o domínio getauth[.]pro e infraestruturas relacionadas.
A longo prazo, as empresas devem impor listas de permissão (allow-lists) de extensões para navegadores usados em tarefas administrativas e examinar de perto qualquer plugin que ofereça scraping, bypass de verificação ou geração de 2FA dentro do navegador para plataformas de alto valor.
Alcance e implicações
Esta campanha representa um risco direto para empresas que dependem do ecossistema do Meta para publicidade e gestão de presença online. O roubo de sementes 2FA é particularmente perigoso, pois anula uma camada fundamental de segurança mesmo após a senha ser alterada. A exfiltração de dados organizacionais do Business Manager também pode facilitar ataques de engenharia social direcionados ou tentativas de fraude financeira contra a empresa.
A persistência da extensão na loja oficial do Chrome ressalta os desafios contínuos das plataformas em detectar e remover ameaças sofisticadas que se mascaram como ferramentas legítimas. A responsabilidade recai sobre os administradores de sistemas e segurança para implementar controles proativos e monitorar o software instalado em estações de trabalho com acesso privilegiado.