В Chrome обнаружены вредоносные расширения, уличённые в краже корпоративных данных, email-аккаунтов и истории просмотров

В магазине для Google Chrome обнаружено расширение, которое под видом утилиты для работы с рекламными кабинетами соцсетей собирает корпоративные сведения, электронную переписку и историю активности. Исследователи по информационной защите выяснили, что аддон отправляет коды двухфакторной аутентификации и служебные файлы на сервер, связанный с атакующим.

Расширение под названием CL Suite от @CLMasters с идентификатором jkphinfhmfkckkcnifhjiplhfoiefffl продвигалось как вспомогательный инструмент для работы с Meta Business Suite и Facebook Business Manager. В описании обещались сбор данных из кабинета, отключение всплывающих подтверждений и формирование кодов 2FA. В каталоге браузера оно появилось 1 марта 2025 года и на момент обнаружения им пользовались 33 аккаунта.

Специалисты компании Socket установили, что заявленные функции служат лишь фасадом. По их данным, дополнение передаёт на удалённую инфраструктуру временные коды TOTP для аккаунтов Facebook и Meta Business, перечни сотрудников из Business Manager и аналитические отчёты. Поток данных направляется на ресурс getauth[.]pro, а при определённых условиях дублируется в Telegram-канал, который контролируется злоумышленником.

Исследователь безопасности Кирилл Бойченко сообщил, что расширение запрашивает обширные разрешения для доступа к доменам meta.com и facebook.com и в политике конфиденциальности заявляет о хранении секретов 2FA и деловой информации локально. По результатам анализа кода выяснилось, что фактическая логика работы иная. Передаются исходные значения TOTP, текущие одноразовые коды, CSV-файлы со сведениями о сотрудниках и данные аналитики из Business Manager. По оценке Кирилла Бойченко, такая архитектура даёт оператору инструмента прямой доступ к материалам, которые обычно защищены дополнительными барьерами.

Атака ориентирована на пользователей рекламных кабинетов Meta. Расширение собирает и выводит данные без уведомления владельцев аккаунтов. Хотя аддон не перехватывает пароли напрямую, угроза остаётся серьёзной. При наличии ранее похищенных учётных данных из логов стилеров или утечек злоумышленник способен объединить их с перехваченными кодами 2FA и получить контроль над профилями.

В компании Socket считают, что даже при 33 установках риск недооценивать нельзя. По их оценке, ограниченное распространение не снижает ценность добытых сведений. Напротив, точечный сбор информации облегчает выбор приоритетных целей и подготовку следующих этапов атаки.

* Корпорация Meta, владеющая Facebook, признана экстремистской организацией и запрещена на территории Российской Федерации.