Pesquisadores de segurança da Socket descobriram uma extensão maliciosa no Chrome chamada “CL Suite by @CLMasters” que se disfarça como uma ferramenta útil para gerenciar dados do Meta Business Manager, mas na verdade rouba informações extremamente sensíveis das vítimas.
A extensão estava disponível publicamente na Chrome Web Store, a loja oficial de extensões do Google Chrome.
Como funciona a extensão
Extensão de navegador é um pequeno programa que adiciona funcionalidades extras ao navegador. Ela pode, por exemplo, bloquear anúncios, verificar gramática ou facilitar tarefas específicas. No entanto, para funcionar, essas extensões precisam de permissões para acessar certas partes dos sites que a vítima visita.
A extensão era vendida na Chrome Web Store como uma forma de “extrair dados de pessoas, analisar Business Managers, remover popups de verificação e gerar códigos 2FA”. Ela solicitava acesso amplo aos domínios meta.com e facebook.com.
O Meta Business Suite e o Facebook Business Manager são os painéis administrativos que organizações usam para gerenciar sua presença no Facebook e Instagram em grande escala.
Nesses painéis, os administradores controlam páginas, contas de anúncios, pixels de rastreamento, catálogos de produtos e permissões de usuários. Qualquer extensão que tenha acesso a essas páginas e aos fluxos de autenticação de dois fatores tem exposição direta a dados empresariais de alto valor.
Profissionais de marketing digital, gestores de mídias sociais e analistas de performance frequentemente buscam ferramentas que facilitem a exportação de listas de colaboradores ou geração de relatórios pelo Meta Business Suite. Essa necessidade real torna essas pessoas alvos naturais para extensões que prometem exatamente essas facilidades.
A extensão foi publicada sob o pseudônimo CLMasters, com o e-mail info@clmasters.pro. Ela apareceu em 1º de março de 2025 e foi atualizada pela última vez em 6 de março de 2025. No momento da descoberta, tinha 28 instalações, mas qualquer vítima corria o risco de perder o controle de ativos corporativos e expor dados internos.
O desenvolvedor hospedava uma política de privacidade que afirmava que os segredos de 2FA eram armazenados localmente e não transmitidos para servidores externos, que dados de pessoas eram processados localmente, e que apenas dados anonimizados eram enviados.
O código real conta uma história completamente diferente, uma vez que a extensão enviava tudo para getauth.pro, incluindo sementes TOTP, códigos atuais, e-mails e exportações completas em CSV.
Semente TOTP torna acessos mais seguros – ou não
Quando a vítima ativa a autenticação de dois fatores, ela escaneia um código QR que contém a “semente” TOTP — uma chave secreta alfanumérica única. Essa semente funciona como uma receita matemática que, combinada com o horário atual, gera códigos de seis dígitos que mudam a cada 30 segundos.
A segurança do sistema depende de que essa semente permaneça secreta. Se roubada, o criminoso pode gerar códigos válidos indefinidamente, quebrando completamente a proteção do 2FA.
A infraestrutura por trás do ataque
O script de segundo plano definia três URLs fixas codificadas no código getauth.pro/api/telemetry.php (exfiltração principal), validate.php (validação falsa) e telegram_notify.php (notificações). Todas as instalações usavam o mesmo token de autenticação hardcoded, e o sistema coletava automaticamente o IP público da vítima para rastreamento entre sessões.
Testes confirmaram que a infraestrutura estava ativa, com certificado TLS válido renovado em janeiro de 2026 — indicando manutenção ativa pelos criminosos.
Os dados passavam por uma função que empacotava informações de diferentes módulos (“2fa”, “people_extractor”, “bm_analytics”), adicionava sistema operacional e timestamp, e marcava eventos para encaminhar ao Telegram. Um detalhe revelador: blocos try-catch vazios engoliam erros silenciosamente, priorizando invisibilidade sobre transparência.
O roubo detalhado de 2FA
Após computar o TOTP, o módulo enviava um pacote com quatro elementos críticos: a semente TOTP completa, o código atual de seis dígitos, o identificador do Facebook e o e-mail da conta.
Como o TOTP é baseado em tempo, os criminosos recebiam tanto a semente quanto o timestamp, permitindo sincronizar seus geradores com os das vítimas. A partir daí, podiam derivar códigos válidos indefinidamente, mesmo anos depois.
A política afirmava que dados não eram transmitidos, mas cada uso do gerador enviava tudo para getauth.pro com notificação no Telegram, sem nenhum aviso ou consentimento à vítima.
Como funcionava o extrator de contatos
O módulo “People Extractor” monitorava quando a vítima acessava a seção “People” do Business Manager. Ele percorria o DOM da página, extraindo nomes, e-mails, funções, permissões e níveis de acesso, montando um CSV completo.
Modelo de Objeto de Documentos, ou DOM, é a estrutura invisível que o navegador usa para organizar e exibir os elementos na tela da vítima, como se fosse o esqueleto por trás do que aparece visualmente na página
A extensão apresentava isso como exportação conveniente, mas enviava os dados aos criminosos em duas ocasiões: quando a vítima clicava em download e quando a extração terminava. Cada ação entregava duas cópias completas da estrutura organizacional da empresa.
O módulo secreto de análises e pagamentos
Um módulo separado chamado “failsafe-bm-analytics.js” operava silenciosamente coletando IDs de Business Managers, contas de anúncios anexadas, páginas conectadas e, mais importante, detalhes de faturamento — quais métodos de pagamento estavam vinculados a cada conta publicitária.
Os criminosos recebiam um mapa completo da infraestrutura financeira das vítimas em tempo quase real.
O que os criminosos podem fazer com esses dados
A combinação desses dados permite três ataques principais. Primeiro, fraude de anúncios em larga escala, executando campanhas fraudulentas às custas da empresa e priorizando alvos com mais orçamento.
Segundo, campanhas de spear phishing personalizadas contra funcionários, usando informações detalhadas sobre funções e acessos. Terceiro, sequestro de ativos a longo prazo — roubo de audiências, modificação de pixels de rastreamento, ou venda de acesso a terceiros.
O mais preocupante é que mesmo desinstalando a extensão, o risco permanece. Os criminosos já armazenaram as sementes TOTP e toda a inteligência de negócios. Para proteção real, é necessário resetar completamente o 2FA, trocar senhas e revisar todos os acessos autorizados.
No momento da publicação, a extensão ainda estava disponível na Chrome Web Store apesar da notificação ao Google, representando risco contínuo para novos usuários.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nosso canal do YouTube e newsletter para mais notícias de segurança e tecnologia.