Attenzione: un’estensione Chrome apparentemente utile per Meta Business Suite sta rubando codici di autenticazione a due fattori (2FA) e dati aziendali sensibili. Questa minaccia mette a rischio gli account di alto valore utilizzati per la gestione di pubblicità e analisi su Facebook e Instagram. Soluzione immediata: controlla le tue estensioni Chrome, rimuovi “CL Suite by @CLMasters” e reimposta immediatamente i codici 2FA dei tuoi account Meta Business. In questo modo, proteggi i tuoi dati e previeni furti di account.
L’estensione si presenta come uno strumento produttivo per social media manager, promettendo di semplificare operazioni quotidiane come l’esportazione di dati sugli utenti, l’analisi dei Business Manager, la rimozione di popup di verifica e la generazione di codici 2FA direttamente nel browser. Molti amministratori, fidandosi di queste promesse, l’hanno installata dal Chrome Web Store, esponendo i propri account a un furto sistematico di informazioni critiche.
Il problema principale riguarda la gestione dei codici 2FA. Quando l’utente utilizza la funzione integrata per generare codici, l’estensione cattura il seme TOTP (il segreto base per la generazione dei codici temporanei) e il codice a sei cifre corrente, insieme al nome utente e all’email associati all’account Facebook. Questi dati vengono poi inviati a un server controllato dagli attaccanti, con la possibilità di inoltrarli a un canale Telegram privato. Con il seme in mano, gli hacker possono generare codici 2FA validi all’infinito, rendendo banale il takeover dell’account una volta ottenute password o canali di recupero da altre fonti.[1][2]
Non si ferma qui: l’estensione attacca anche i dati del Meta Business Manager. Una funzione di “estrazione persone” scansiona la vista “Persone” del Business Manager, raccogliendo nomi, email, ruoli, status e livelli di accesso in file CSV. Questi vengono esfiltrati silenziosamente verso lo stesso server malevolo. Un altro componente analizza gli ID dei Business Manager, gli account pubblicitari collegati, le pagine associate e le configurazioni di fatturazione o pagamenti, fornendo agli attaccanti una mappa completa degli asset aziendali e delle modalità di finanziamento della spesa pubblicitaria.[1][2]
Anche se l’install base è limitata, questi dati sono sufficienti per identificare target preziosi e pianificare frodi successive o takeover completi. La politica sulla privacy dell’estensione mente spudoratamente, affermando che i dati 2FA e Business Manager rimangono locali nel browser, mentre in realtà avvengono esfiltrazioni continue durante le sessioni authenticate.[1][2]
Le organizzazioni che utilizzano Meta Business o Facebook Business Manager devono agire con urgenza. Audit delle estensioni del browser, rimozione immediata di CL Suite e trattamento degli account come compromessi. Passi consigliati includono la re-iscrizione al 2FA con nuovi segreti, la revisione di ruoli e membri nel Business Manager e il monitoraggio del traffico verso domini sospetti. A lungo termine, implementa liste di estensioni consentite sui browser amministrativi e scruta con attenzione qualsiasi plugin che offra scraping, bypass di verifiche o generazione 2FA in-browser per piattaforme ad alto valore.[1][2]
Questa vicenda evidenzia i pericoli delle estensioni Chrome non verificate, specialmente quelle che richiedono permessi estesi su domini come meta.com e facebook.com. L’ID dell’estensione incriminata è jkphinfhmfkckkcnifhjiplhfoiefffl, e rimane disponibile nello store, ingannando potenziali vittime con promesse di produttività.[1][2]
Proteggere gli account aziendali richiede vigilanza costante. Evita estensioni di terze parti per funzioni sensibili come la gestione 2FA: usa sempre app ufficiali o autenticatori dedicati come Google Authenticator o Authy. Controlla regolarmente le autorizzazioni delle estensioni e revoca quelle inutili. Per le imprese, considera policy aziendali che limitino l’installazione di estensioni non approvate, integrando tool di sicurezza endpoint per rilevare comportamenti anomali.[1][2]
In un panorama di minacce in evoluzione, gli infostealer come questo non si limitano più a credenziali base, ma colpiscono il contesto operativo completo, inclusi semi TOTP e strutture organizzative. Questo caso è un campanello d’allarme per tutti i gestori di account Meta.[1][2]
Approfondimento tecnico
Per utenti tecnici e amministratori di sistema, analizziamo i meccanismi sotto il cofano. L’estensione CL Suite by @CLMasters sfrutta permessi Chrome manifest v3 per accedere a tab su meta.com e facebook.com, intercettando eventi DOM e storage locale. Il file chiave 2fa-generator.js hooka la generazione TOTP utilizzando librerie come otpauth, catturando il secret key (seme base32) e il codice corrente via window.postMessage o storage.sync.[2]
L’esfiltrazione avviene via fetch o XMLHttpRequest verso endpoint come getauth.pro, con payload JSON contenenti {username, email, totp_seed, current_code, timestamp}. I CSV delle persone sono generati parsando tabelle HTML del Business Manager (selettori come .people-table), serializzati e inviati con flag per Telegram webhook.[1][2]
Dal punto di vista MITRE ATT&CK, questa è una supply chain compromise (T1195) via Chrome Web Store, con tattiche di Collection (T1560), Exfiltration Over C2 Channel (T1041) e Steal Web Session Cookie (T1539). La discrepanza tra privacy policy e codice reale (decompilabile via CRX extractor) sottolinea la necessità di audit statici e dinamici.[2]
Mitigazioni avanzate: usa Chrome Enterprise con Extension Allowlist (policy ExtensionsAllowedForUrls), integra Socket AI Scanner o simili per analisi pre-installazione, e monitora network traffic con proxy come Burp Suite per flussi verso domini noti (getauth.pro, clmasters.pro). Rigenera semi TOTP via API Meta Graph o dashboard, forzando logout su tutti i device. Per detection, cerca anomalie in Chrome logs (chrome://extensions) o usa EDR come CrowdStrike per browser sandboxing.[1][2]
Script di audit rapido in JavaScript per console Chrome:
// Controlla presenza estensione malevola
chrome.management.getAll((extensions) => {
extensions.forEach(ext => {
if (ext.id === 'jkphinfhmfkckkcnifhjiplhfoiefffl') {
console.error('ALERT: CL Suite rilevata! Disinstalla immediatamente.');
}
});
});
Implementa anche script per revocare sessioni Meta via API. Questa minaccia evolve: monitora CVE e report threat intel per varianti. La sicurezza aziendale dipende da proattività tecnica.[1][2]
(Conteggio parole: circa 1050)
Fonte: https://cybersecuritynews.com/chrome-extension-steals-facebook-2fa-codes/
