Pesquisadores de cibersegurança identificaram uma extensão maliciosa para o Google Chrome que tem como alvo o roubo de dados relacionados ao Meta Business Suite e ao Facebook Business Manager.
A extensão, chamada CL Suite by @CLMasters (ID: jkphinfhmfkckkcnifhjiplhfoiefffl), foi apresentada como uma ferramenta para extrair dados do Meta Business Suite, eliminar pop-ups de verificação e gerar códigos de autenticação de dois fatores (2FA).
Atualmente, a extensão conta com 33 usuários desde seu upload inicial em 1º de março de 2025.
No entanto, além das funcionalidades anunciadas, ela exfiltra códigos TOTP (Time-Based One-Time Password) para contas do Facebook e Meta Business, listas de contatos do Business Manager e dados analíticos, enviando essas informações para servidores controlados pelo atacante, conforme relatório da empresa de segurança Socket.
De acordo com o pesquisador Kirill Boychenko, “a extensão solicita permissões amplas em meta.com e facebook.com e afirma em sua política de privacidade que os segredos de 2FA e os dados do Business Manager permanecem locais.
Na prática, o código transmite sementes TOTP, códigos de segurança de uso único, exportações em CSV de contatos da aba ‘People’ do Meta Business e dados analíticos do Business Manager para um backend hospedado em getauth[.]pro, com opção de encaminhar os mesmos dados para um canal do Telegram controlado pelo invasor”.
Essa tática permite que o autor da ameaça colete informações sensíveis sem o conhecimento ou consentimento dos usuários.
Embora a extensão não roube diretamente senhas, o atacante pode combinar os dados obtidos com outras fontes, como logs de infostealers ou dumps de credenciais, e usar os códigos roubados para acessar contas de forma não autorizada.
Entre as capacidades maliciosas da CL Suite destacam-se:
- Roubo da semente TOTP, usada para gerar códigos 2FA.
- Extração de informações da visão “People” do Business Manager, criando arquivos CSV com nomes, e-mails, funções, permissões e status.
- Enumeração de entidades do Business Manager, vinculando IDs, contas de anúncio, páginas conectadas, ativos e dados de pagamento em arquivos CSV.
Apesar do número reduzido de instalações, a Socket alerta que a extensão oferece dados suficientes para identificar alvos valiosos e promover ataques subsequentes.
Boychenko enfatiza que “a CL Suite exemplifica como uma extensão de navegador focada pode mascarar coleta de dados como uma ferramenta legítima para o Meta Business Suite e Facebook Business Manager, coletando listas de contatos, metadados de acesso e material de 2FA diretamente das páginas autenticadas”.
Extensões maliciosas sequestram contas do VKontakte
Paralelamente, a Koi Security revelou que cerca de 500 mil usuários do VKontakte tiveram suas contas sequestradas silenciosamente por meio de extensões do Chrome que se disfarçam como ferramentas de personalização para a rede social russa.
A campanha, denominada VK Styles, utiliza malwares que manipulam contas ao inscrever usuários automaticamente em grupos do invasor, redefinir configurações a cada 30 dias para ignorar preferências, explorar tokens CSRF para contornar proteções e manter controle persistente.
O responsável pelo ataque opera sob o nome 2vk no GitHub, distribuindo payloads maliciosos pela própria rede do VKontakte e aumentando seguidores via inscrições forçadas.
As extensões envolvidas incluem:
- VK Styles - Themes for vk.com (ID: ceibjdigmfbbgcpkkdpmjokkokklodmc)
- VK Music - audio saver (ID: mflibpdjoodmoppignjhciadahapkoch)
- Music Downloader - VKsaver (ID: lgakkahjfibfgmacigibnhcgepajgfdb)
- vksaver - music saver vk (ID: bndkfmmbidllaiccmpnbdonijmicaafn)
- VKfeed - Download Music and Video from VK (ID: pcdgkgbadeggbnodegejccjffnoakcoh)
Um aspecto inovador desse ataque é o uso de tags HTML de perfis do VK, como vk[.]com/m0nda, para esconder URLs da próxima etapa da carga maliciosa, dificultando a detecção.
A carga seguinte, hospedada em um repositório público chamado "-", contém JavaScript ofuscado injetado em cada página do VK visitada pela vítima.
O repositório permanece acessível, com 17 commits registrados entre junho de 2025 e janeiro de 2026, o que demonstra desenvolvimento contínuo e engenharia cuidadosa.
Conforme analisa o pesquisador Ariel Cohen, “não se trata de malware improvisado, mas de um projeto de software mantido, com controle de versão, testes e melhorias iterativas”.
O impacto maior está na comunidade de língua russa, principal base de usuários do VK, abrangendo também Europa Oriental, Ásia Central e diásporas russas ao redor do mundo.
Estima-se que a campanha esteja ativa desde pelo menos 22 de junho de 2025.
Extensões falsas de IA roubam credenciais e e-mails
Coincidentemente, foi identificada a campanha AiFrame, com 32 extensões de navegador promovidas como assistentes de inteligência artificial para tarefas como resumo, chat, escrita e auxílio ao Gmail, que juntas somam mais de 260 mil instalações.
Segundo a pesquisadora Natalie Zargarov, da LayerX, “apesar da aparente legitimidade, essas ferramentas ocultam uma arquitetura perigosa: em vez de executar funcionalidades localmente, embutem interfaces remotas controladas por servidores dentro das extensões, agindo como proxies privilegiados que dão acesso remoto a capacidades sensíveis do navegador”.
As extensões maliciosas incluem nomes como AI Assistant, Llama, Gemini AI Sidebar, ChatGPT Sidebar, Grok e Google Gemini, entre outras.
Ao serem instaladas, essas extensões exibem um iframe em tela cheia apontando para um domínio remoto (“claude.tapnetic[.]pro”), permitindo atualização dinâmica de funcionalidades sem necessidade de update via Chrome Web Store.
Sob o comando do iframe, extraem conteúdos lidos em páginas do navegador usando a biblioteca Mozilla Readability, iniciam reconhecimento de voz para exfiltrar transcrições e, em alguns casos, leem diretamente o conteúdo de e-mails visíveis no Gmail, enviando-os a servidores externos sem proteção.
A LayerX alerta que “conteúdo de mensagens e dados contextuais podem ser transmitidos para infraestruturas terceiras, saindo do ambiente seguro do Gmail”.
287 extensões exfiltram histórico de navegação
Um relatório recente da Q Continuum revelou um conjunto de 287 extensões do Chrome que coletam e enviam histórico de navegação para empresas de dados como Similarweb e Alexa.
Juntas, essas extensões acumulam 37,4 milhões de instalações, o que equivale a cerca de 1% da base global de usuários do Chrome.
Esse cenário reforça a crescente exploração de extensões de navegador para coleta e exfiltração de dados sensíveis, muitas vezes disfarçadas como ferramentas legítimas.
Recomendações para usuários e organizações
Diante dos riscos, especialistas recomendam uma postura minimalista: instalar apenas extensões realmente necessárias e com avaliações positivas, preferencialmente oriundas das lojas oficiais.
Também é fundamental revisar periodicamente as extensões instaladas, buscando sinais de comportamento suspeito ou permissões excessivas.
Outras medidas eficazes incluem usar perfis de navegador separados para atividades sensíveis e aplicar políticas de allowlisting (listas de permissões) para bloquear extensões maliciosas ou não conformes.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...