0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

«Всё локально, честно-честно». Расширение для Chrome врало в политике конфиденциальности и крало 2FA

leer en español

Google Chrome Meta Facebook Socket CLMasters CL Suite кража данных
«Всё локально, честно-честно». Расширение для Chrome врало в политике конфиденциальности и крало 2FA
Google Chrome Meta Facebook Socket CLMasters CL Suite кража данных

Всё, что считалось приватным, теперь доступно абсолютно случайным людям.

image

Злоумышленники всё чаще маскируют кражу данных под «полезные» расширения для браузера, особенно когда речь идёт о доступе к рекламным кабинетам и бизнес-аккаунтам. На этот раз под подозрение попало дополнение для Google Chrome, которое обещало помочь с выгрузками данных Meta и упростить работу с проверками безопасности.

Команда Socket обнаружила вредоносное расширение CL Suite, опубликованное в Chrome Web Store под псевдонимом CLMasters. По данным отчёта, оно ориентировано на пользователей Meta* Business Suite и Facebook* Business Manager и, помимо заявленных функций, незаметно передаёт на серверы злоумышленника чувствительную информацию. Речь идёт не только о данных из Business Manager, но и о секретах двухфакторной аутентификации на основе TOTP, которые позволяют генерировать одноразовые коды.

В магазине расширение рекламировали как инструмент для выгрузки данных о сотрудниках и анализа бизнес-аккаунтов, а также для подавления всплывающих окон проверки и генерации 2FA-кодов. При этом в политике конфиденциальности утверждали, что секреты 2FA и данные Business Manager остаются локально. Анализ кода показал обратное: расширение отправляло TOTP-секреты и текущие одноразовые коды, выгрузки CSV из раздела «Люди», а также аналитические данные Business Manager на инфраструктуру «getauth[.]pro». Отдельные события помечали флагом, который включал пересылку тех же данных в Telegram-канал, связанный с оператором.

Кража TOTP-секретов фактически обнуляет смысл 2FA: если пароль уже утёк из логов инфостилеров или из слитых баз, захват аккаунта упрощается, а доступ можно сохранять долго. Дополнительно злоумышленник получает карту бизнес-активов: имена и почты пользователей, уровни доступа, связанные рекламные кабинеты и элементы аналитики. Риск сохраняется даже после удаления расширения, поскольку секреты 2FA и экспортированные данные остаются у атакующей стороны.

По данным Socket, расширение CL Suite имеет идентификатор «jkphinfhmfkckkcnifhjiplhfoiefffl», впервые появилось 1 марта 2025 года и обновлялось 6 марта 2025 года. На момент публикации отчёта 13 февраля 2026 года расширение оставалось доступным в Chrome Web Store, а Google уже уведомили о находке.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.