Nguy hiểm! Mở rộng độc hại Chrome đánh cắp dữ liệu 2FA Meta

Một mở rộng độc hại Chrome tự nhận là công cụ hỗ trợ người dùng Meta Business đang âm thầm đánh cắp dữ liệu mã 2FA và dữ liệu phân tích từ Facebook Business Manager. Hành vi này đặt các tài khoản quảng cáo giá trị cao vào nguy cơ bị chiếm quyền kiểm soát.

Mở rộng này, có tên “CL Suite by @CLMasters” với ID: jkphinfhmfkckkcnifhjiplhfoiefffl, hiện vẫn có sẵn trên Chrome Web Store. Nó nhắm mục tiêu cụ thể vào môi trường Meta Business Suite và Facebook Business Manager.

Mục tiêu và Hoạt động của Mở Rộng Độc Hại Chrome

CL Suite được quảng bá như một tiện ích với các tính năng như “trích xuất dữ liệu người dùng, phân tích Business Managers, loại bỏ cửa sổ xác minh bật lên và tạo mã 2FA”. Để thực hiện các tính năng này, nó yêu cầu quyền truy cập rộng rãi trên các tên miền meta.com và facebook.com.

Chính sách bảo mật của tiện ích này tuyên bố rằng các bí mật 2FA và dữ liệu Business Manager sẽ được giữ cục bộ trong trình duyệt. Tuy nhiên, phân tích kỹ thuật cho thấy mở rộng độc hại Chrome này hoạt động giống một công cụ infostealer hơn là một công cụ năng suất thông thường.

Các nhà nghiên cứu mối đe dọa của Socket đã phát hiện ra rằng tiện ích này lợi dụng chính các tính năng mà nó quảng cáo để thu thập bí mật xác thực và thông tin tình báo kinh doanh từ các phiên quản trị viên đã đăng nhập.

Kỹ thuật Đánh Cắp Mã 2FA và Dữ Liệu Kinh Doanh

Chiếm Đoạt Mã Xác Thực Hai Yếu Tố (2FA)

Vấn đề nghiêm trọng nhất là cách mở rộng độc hại Chrome này xử lý xác thực hai yếu tố (2FA) cho các tài khoản Facebook và Meta Business. Khi người dùng sử dụng trình tạo 2FA tích hợp của tiện ích, CL Suite sẽ chiếm quyền điều khiển hạt giống (seed) TOTP cùng với mã 2FA 6 chữ số hiện tại.

Tên người dùng Facebook và địa chỉ email liên quan sau đó được gửi đến một cơ sở hạ tầng do kẻ tấn công kiểm soát tại getauth[.]pro. Có cả tùy chọn để chuyển tiếp thông tin này đến một kênh Telegram.

Với cả hạt giống TOTP và mã hợp lệ có dấu thời gian, kẻ tấn công có thể tiếp tục tạo ra các mã 2FA hoạt động vô thời hạn. Điều này giúp dễ dàng chiếm đoạt tài khoản một khi mật khẩu hoặc các kênh khôi phục được lấy từ các công cụ infostealer khác hoặc từ các bản đổ dữ liệu thông tin xác thực.

Đánh Cắp Dữ Liệu Meta Business Manager

Tiện ích này cũng nhắm mục tiêu một cách quyết liệt vào dữ liệu của Meta Business Manager. Tính năng trích xuất “People” (Người dùng) sẽ quét chế độ xem “People” của Business Manager, xây dựng các tệp CSV chứa tên, địa chỉ email, vai trò, trạng thái và cấp độ truy cập.

Sau đó, các tệp CSV này được âm thầm chuyển sang cùng một máy chủ backend của kẻ tấn công, thường được đánh dấu để chuyển tiếp đến Telegram. Đây là một hành vi đánh cắp dữ liệu có hệ thống.

Một thành phần phân tích khác sẽ liệt kê các ID Business Manager, tài khoản quảng cáo được liên kết, các trang đã kết nối và cấu hình thanh toán hoặc hóa đơn. Điều này cung cấp cho kẻ tấn công một bản đồ hoàn chỉnh về tài sản kinh doanh và cách chi tiêu quảng cáo được tài trợ, tạo điều kiện cho các hoạt động gian lận hoặc chiếm đoạt tài khoản tiếp theo.

Ngay cả với một số lượng cài đặt hạn chế, mức độ hiển thị này cũng đủ để xác định các mục tiêu thành công và lên kế hoạch cho các hoạt động lừa đảo hoặc chiếm đoạt tài khoản tiếp theo. Nguy cơ đánh cắp dữ liệu là rất lớn.

Chỉ Số Thỏa Hiệp (IoC)

Các tổ chức nên giám sát các kết nối đến chỉ số thỏa hiệp sau:

• Cơ sở hạ tầng của kẻ tấn công: getauth[.]pro

Biện Pháp Phòng Ngừa và Phục Hồi An Toàn Thông Tin

Theo nghiên cứu từ Socket’s Threat Research, các tổ chức sử dụng Meta Business hoặc Facebook Business Manager cần thực hiện các bước sau để đảm bảo an toàn thông tin:

• Kiểm tra và loại bỏ tiện ích mở rộng: Kiểm tra kỹ lưỡng các tiện ích mở rộng trình duyệt và gỡ bỏ CL Suite.
• Xử lý tài khoản bị xâm nhập: Xem tất cả các tài khoản bị ảnh hưởng là đã bị xâm nhập.
• Đăng ký lại 2FA: Đăng ký lại 2FA với các bí mật (secrets) mới.
• Rà soát vai trò và thành viên: Xem xét lại các vai trò và thành viên trong Business Manager.
• Giám sát lưu lượng mạng: Giám sát lưu lượng truy cập đến getauth[.]pro và các cơ sở hạ tầng liên quan.

Về lâu dài, các doanh nghiệp cần thực thi danh sách cho phép (allow-lists) cho các tiện ích mở rộng trên trình duyệt của quản trị viên. Đồng thời, cần xem xét kỹ lưỡng bất kỳ plugin nào cung cấp khả năng scraping, bỏ qua xác minh hoặc tạo 2FA trong trình duyệt cho các nền tảng có giá trị cao để bảo vệ an toàn thông tin.