Se uma extensão do Chrome promete remover pop-ups de segurança e gerar MFA códigos que deveriam te fazer parar para pensar.
No entanto, trinta e três pessoas não pararam.
Recentemente, pesquisadores de segurança descobriram uma extensão maliciosa para o Chrome chamada CL Suite, criada por @CLMasters, com o ID jkphinfhmfkckkcnifhjiplhfoiefffl. Ela foi publicada na Chrome Web Store em 1º de março de 2025 e, até o momento desta publicação, contava com apenas 33 usuários.
À primeira vista, esse número parece pequeno. Na realidade, não é.
Superficialmente, a extensão foi comercializada como uma ferramenta para usuários do Meta Business Suite. Especificamente, alegava coletar dados, remover pop-ups de verificação e gerar códigos de autenticação de dois fatores (também conhecida como MFA)Para um profissional de marketing ocupado, isso soa como conveniência. Por outro lado, para um profissional de segurança, soa como um grande sinal de alerta.
Por baixo dessa camada de marketing, a extensão tinha capacidades muito mais sérias. Ela podia roubar sua senha de uso único baseada em tempo (ou TOTP) seed, que é a chave secreta usada para gerar senhas de uso único baseadas em tempo. Além disso, poderia capturar códigos 2FA em tempo real. Ademais, poderia navegar automaticamente para facebook[.]com e meta[.]com e direcionar a visualização "Pessoas" do Gerenciador de Negócios.
A partir daí, gerou um arquivo CSV contendo nomes, endereços de e-mail, funções, permissões e status de acesso. Além disso, enumerou entidades do Business Manager e IDs de exportação, contas de anúncios, páginas conectadas, ativos e detalhes de configuração de faturamento.
Em outras palavras, não se tratava de uma simples coleta de dados. Em vez disso, era um processo estruturado, direcionado e extremamente perigoso de reconhecimento e roubo de dados.
Para compreender plenamente o impacto, primeiro você precisa entender o que é um TOTP A autenticação de dois fatores baseada em aplicativo funciona porque uma chave secreta gera códigos rotativos de seis dígitos. Se um invasor roubar essa chave secreta, ele poderá gerar códigos 2FA válidos a qualquer momento.
Como resultado, eles não apenas ignoram sua senha, mas também contornam completamente sua segunda camada de proteção. Em outras palavras, é como entregar a alguém tanto a chave da sua casa quanto o código do seu alarme.
Agora, considere o que o Meta Business Manager geralmente controla: páginas da empresa, contas de publicidade, métodos de pagamento e acesso de funcionários e parceiros.
Se os atacantes conseguirem exportar as funções dos usuários e os detalhes de faturamento, eles obterão um mapa completo da presença digital da organização. A partir daí, podem identificar contas com privilégios elevados, redirecionar gastos com anúncios ou lançar ataques direcionados. engenharia social campanhas. Consequentemente, trinta e três instalações poderiam levar a dezenas de violações de segurança da empresa, exposição financeira significativa e ataques subsequentes de fontes confiáveis. Uma receita para o desastre!
De forma mais ampla, a questão principal aqui é a confiança. Muitos usuários presumem que tudo na Chrome Web Store é seguro. Embora as extensões sejam revisadas, comportamentos maliciosos ainda podem passar despercebidos. Em alguns casos, eles se escondem em atualizações. Em outros, se escondem atrás de recursos que parecem úteis.
A maioria dos usuários não revisa as permissões com atenção suficiente. Em vez disso, clicam em "Adicionar extensão" e seguem em frente. No entanto, esse único clique pode conceder a capacidade de ler dados do site, interagir com fluxos de autenticação e capturar informações da sessão. Mesmo quando os aplicativos solicitam permissão, os usuários raramente leem todas as letras miúdas sobre o que a extensão pode fazer. Os usuários são como água em um rio, fluindo suavemente ao redor dos obstáculos em seu caminho, sem muita preocupação. Então, do nada, uma extensão maliciosa, como um crocodilo, ataca e, de repente, coisas muito ruins acontecem.
Os usuários precisam entender que o navegador não é mais apenas uma ferramenta de navegação. Ele pode ser uma porta de entrada para os sistemas e dados da sua empresa.
Felizmente, esse risco é administrável.
Em primeiro lugar, as organizações devem regularmente Analise as extensões instaladas e remova qualquer uma que estiver lá. não aprovado e não essencialEm seguida, os ambientes gerenciados devem implementar listas de permissões para que apenas extensões aprovadas sejam permitidas. Além disso, os funcionários devem ser treinados para questionar permissões, especialmente quando uma extensão envolve autenticação ou alega burlar etapas de segurança. Por fim, o monitoramento de plataformas corporativas em busca de comportamentos administrativos incomuns é fundamental, visto que o abuso de sessão raramente aciona alertas de login.
Em última análise, a lição é simples. Os atacantes incluem melhorias de produtividade em seus pacotes, que escondem ataques. Eles disfarçam o roubo de dados como automação. Acima de tudo, eles contam com a conveniência para superar a cautela.
A conscientização pode ajudar você a planejar seu programa de segurança, alertar seus usuários e evitar essas ameaças ocultas.
Descubra e compartilhe as últimas tendências, dicas e melhores práticas de segurança cibernética, além de novas ameaças às quais você deve ficar atento.
O DocuSign se tornou uma das ferramentas mais confiáveis nos negócios modernos. Contratos, documentos de RH, acordos de confidencialidade, fornecedores...
Ler mais
E sim, a IA Gemini do Google não tinha ideia de que estava trabalhando para os bandidos. Os malwares sempre seguiram um roteiro...
Ler mais
Os grupos de ransomware não estão invadindo organizações da mesma forma que faziam há cinco anos. Os métodos de entrada mudaram...
Ler maisTenha uma visão mais aguçada dos riscos humanos com uma abordagem positiva que supera os testes de phishing tradicionais.
