⚡ Não perca: notícia importante no ar! ⚡
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descobriram uma extensão maliciosa do Google Chrome projetada para roubar dados associados ao Meta Business Suite e ao Facebook Business Manager.
A extensão, chamada CL Suite por @CLMasters (ID: jkphinfhmfkckkcnifhjiplhfoiefffl), é comercializada como uma forma de extrair dados do Meta Business Suite, remover pop-ups de verificação e gerar códigos de autenticação de dois fatores (2FA). A extensão tinha 33 usuários até o momento. Ele foi carregado pela primeira vez na Chrome Web Store em 1º de março de 2025.
No entanto, o complemento do navegador também exfiltra códigos TOTP para contas do Facebook e Meta Business, listas de contatos do Business Manager e dados analíticos para infraestrutura controlada pelo ator da ameaça, disse Socket.
“A extensão solicita amplo acesso a meta.com e facebook.com e afirma em sua política de privacidade que os segredos 2FA e os dados do Business Manager permanecem locais”, disse o pesquisador de segurança Kirill Boychenko.
"Na prática, o código transmite sementes TOTP e códigos de segurança únicos atuais, exportações CSV de 'Pessoas' do Meta Business e dados analíticos do Business Manager para um back-end em getauth[.]pro, com a opção de encaminhar as mesmas cargas úteis para um canal Telegram controlado pelo ator da ameaça."
Ao atingir os usuários do Meta Business Suite e do Facebook Business Manager, o agente da ameaça por trás da operação aproveitou a extensão para realizar a coleta e exfiltração de dados sem o conhecimento ou consentimento dos usuários.
Embora a extensão não tenha capacidade para roubar informações relacionadas a senhas, o invasor pode obter essas informações antecipadamente de outras fontes, como registros de infostealer ou despejos de credenciais, e então usar os códigos roubados para obter acesso não autorizado às contas das vítimas.
O escopo completo dos recursos do complemento malicioso está listado abaixo:
Roubar sementes TOTP (um código alfanumérico exclusivo usado para gerar senhas de uso único baseadas em tempo) e código 2FA
Almeje a visualização "Pessoas" do Business Manager navegando para facebook[.]com e meta[.]com e crie um arquivo CSV com nomes, endereços de e-mail, funções e permissões, e seu status e detalhes de acesso.
Enumere entidades no nível do Business Manager e seus ativos vinculados e crie um arquivo CSV de IDs e nomes do Business Manager, contas de anúncios anexadas, páginas e ativos conectados e detalhes de configuração de faturamento e pagamento.
Socket alertou que, apesar do baixo número de instalações, a extensão fornece ao agente da ameaça informações suficientes para identificar alvos de alto valor e montar ataques subsequentes.
“CL Suite da @CLMasters mostra como uma extensão estreita de navegador pode reempacotar a coleta de dados como uma ‘ferramenta’ para Meta Business Suite e Facebook Business Manager”, disse Boychenko.
"Sua extração de pessoas, análise do Business Manager, supressão de pop-up e geração 2FA no navegador não são recursos de produtividade neutros, eles são scrapers desenvolvidos especificamente para superfícies Meta de alto valor que coletam listas de contatos, acessam metadados e material 2FA diretamente de páginas autenticadas."
Extensões do Chrome sequestram contas VKontakte
A divulgação ocorre no momento em que a Koi Security descobriu que cerca de 500.000 usuários do VKontakte tiveram suas contas sequestradas silenciosamente por meio de extensões do Chrome disfarçadas de ferramentas de personalização do VK. A campanha em grande escala recebeu o codinome VK Styles.
O malware incorporado nas extensões foi projetado para manipular ativamente a conta, inscrevendo automaticamente os usuários nos grupos VK do invasor, redefinindo as configurações da conta a cada 30 dias para substituir as preferências do usuário, manipulando tokens Cross-Site Request Forgery (CSRF) para contornar as proteções de segurança do VK e mantendo o controle persistente.
A atividade foi atribuída a um agente de ameaça operando sob o nome de usuário GitHub 2vk, que confiou na própria rede social do VK para distribuir cargas maliciosas e construir uma base de seguidores por meio de assinaturas forçadas. Os nomes das extensões estão listados abaixo -
Estilos VK - Temas para vk.com (ID: ceibjdigmfbbgcpkkdpmjokkokklodmc)
VK Music - protetor de áudio (ID: mflibpdjoodmoppignjhciadahapkoch)
Downloader de música - VKsaver (ID: lgakkahjfibfgmacigibnhcgepajgfdb)
vksaver - economizador de música vk (ID: bndkfmmbidllaiccmpnbdonijmicaafn)
VKfeed - Baixe músicas e vídeos do VK (ID: pcdgkgbadeggbnodegejccjffnoakcoh)
Uma das características definidoras da campanha é o uso de tags de metadados HTML de um perfil VK ("vk[.]com/m0nda") como um resolvedor de entrega morta para ocultar os URLs de carga útil do próximo estágio e, portanto, evitar a detecção. A carga útil do próximo estágio está hospedada em um repositório público chamado "-" associado ao 2vk. Presente na carga útil está o JavaScript ofuscado que é injetado em cada página VK que a vítima visita.
O repositório ainda está acessível no momento da escrita, com o arquivo, simplesmente denominado “C”, recebendo um total de 17 commits entre junho de 2025 e janeiro de 2026, à medida que o operador refinava e adicionava novas funcionalidades
A extensão, chamada CL Suite por @CLMasters (ID: jkphinfhmfkckkcnifhjiplhfoiefffl), é comercializada como uma forma de extrair dados do Meta Business Suite, remover pop-ups de verificação e gerar códigos de autenticação de dois fatores (2FA). A extensão tinha 33 usuários até o momento. Ele foi carregado pela primeira vez na Chrome Web Store em 1º de março de 2025.
No entanto, o complemento do navegador também exfiltra códigos TOTP para contas do Facebook e Meta Business, listas de contatos do Business Manager e dados analíticos para infraestrutura controlada pelo ator da ameaça, disse Socket.
“A extensão solicita amplo acesso a meta.com e facebook.com e afirma em sua política de privacidade que os segredos 2FA e os dados do Business Manager permanecem locais”, disse o pesquisador de segurança Kirill Boychenko.
"Na prática, o código transmite sementes TOTP e códigos de segurança únicos atuais, exportações CSV de 'Pessoas' do Meta Business e dados analíticos do Business Manager para um back-end em getauth[.]pro, com a opção de encaminhar as mesmas cargas úteis para um canal Telegram controlado pelo ator da ameaça."
Ao atingir os usuários do Meta Business Suite e do Facebook Business Manager, o agente da ameaça por trás da operação aproveitou a extensão para realizar a coleta e exfiltração de dados sem o conhecimento ou consentimento dos usuários.
Embora a extensão não tenha capacidade para roubar informações relacionadas a senhas, o invasor pode obter essas informações antecipadamente de outras fontes, como registros de infostealer ou despejos de credenciais, e então usar os códigos roubados para obter acesso não autorizado às contas das vítimas.
O escopo completo dos recursos do complemento malicioso está listado abaixo:
Roubar sementes TOTP (um código alfanumérico exclusivo usado para gerar senhas de uso único baseadas em tempo) e código 2FA
Almeje a visualização "Pessoas" do Business Manager navegando para facebook[.]com e meta[.]com e crie um arquivo CSV com nomes, endereços de e-mail, funções e permissões, e seu status e detalhes de acesso.
Enumere entidades no nível do Business Manager e seus ativos vinculados e crie um arquivo CSV de IDs e nomes do Business Manager, contas de anúncios anexadas, páginas e ativos conectados e detalhes de configuração de faturamento e pagamento.
Socket alertou que, apesar do baixo número de instalações, a extensão fornece ao agente da ameaça informações suficientes para identificar alvos de alto valor e montar ataques subsequentes.
“CL Suite da @CLMasters mostra como uma extensão estreita de navegador pode reempacotar a coleta de dados como uma ‘ferramenta’ para Meta Business Suite e Facebook Business Manager”, disse Boychenko.
"Sua extração de pessoas, análise do Business Manager, supressão de pop-up e geração 2FA no navegador não são recursos de produtividade neutros, eles são scrapers desenvolvidos especificamente para superfícies Meta de alto valor que coletam listas de contatos, acessam metadados e material 2FA diretamente de páginas autenticadas."
Extensões do Chrome sequestram contas VKontakte
A divulgação ocorre no momento em que a Koi Security descobriu que cerca de 500.000 usuários do VKontakte tiveram suas contas sequestradas silenciosamente por meio de extensões do Chrome disfarçadas de ferramentas de personalização do VK. A campanha em grande escala recebeu o codinome VK Styles.
O malware incorporado nas extensões foi projetado para manipular ativamente a conta, inscrevendo automaticamente os usuários nos grupos VK do invasor, redefinindo as configurações da conta a cada 30 dias para substituir as preferências do usuário, manipulando tokens Cross-Site Request Forgery (CSRF) para contornar as proteções de segurança do VK e mantendo o controle persistente.
A atividade foi atribuída a um agente de ameaça operando sob o nome de usuário GitHub 2vk, que confiou na própria rede social do VK para distribuir cargas maliciosas e construir uma base de seguidores por meio de assinaturas forçadas. Os nomes das extensões estão listados abaixo -
Estilos VK - Temas para vk.com (ID: ceibjdigmfbbgcpkkdpmjokkokklodmc)
VK Music - protetor de áudio (ID: mflibpdjoodmoppignjhciadahapkoch)
Downloader de música - VKsaver (ID: lgakkahjfibfgmacigibnhcgepajgfdb)
vksaver - economizador de música vk (ID: bndkfmmbidllaiccmpnbdonijmicaafn)
VKfeed - Baixe músicas e vídeos do VK (ID: pcdgkgbadeggbnodegejccjffnoakcoh)
Uma das características definidoras da campanha é o uso de tags de metadados HTML de um perfil VK ("vk[.]com/m0nda") como um resolvedor de entrega morta para ocultar os URLs de carga útil do próximo estágio e, portanto, evitar a detecção. A carga útil do próximo estágio está hospedada em um repositório público chamado "-" associado ao 2vk. Presente na carga útil está o JavaScript ofuscado que é injetado em cada página VK que a vítima visita.
O repositório ainda está acessível no momento da escrita, com o arquivo, simplesmente denominado “C”, recebendo um total de 17 commits entre junho de 2025 e janeiro de 2026, à medida que o operador refinava e adicionava novas funcionalidades
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #extensões #maliciosas #do #chrome #capturadas #roubando #dados #comerciais, #emails #e #histórico #de #navegação
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário