sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Copa do Mundo: como é a tecnologia que anulou o gol da Croácia contra Portugal?
3 de julho de 2026
Após Bugatti, Volkswagen pode vender Lamborghini e Ducati
3 de julho de 2026
iPhone 18 Pro Max pode ter bateria maior que a do Galaxy S26 Ultra
3 de julho de 2026
Jogadores estão cancelando o PS Plus para protestar contra fim da mídia física no PlayStation
3 de julho de 2026
sexta-feira, julho 3, 2026
Top Posts
Copa do Mundo: como é a tecnologia que...
Após Bugatti, Volkswagen pode vender Lamborghini e Ducati
iPhone 18 Pro Max pode ter bateria maior...
Jogadores estão cancelando o PS Plus para protestar...
ChatGPT piorou saúde mental de homem bipolar, defende...
Novo alerta de dengue: Campinas tem 36 bairros...
Moana 3 está em desenvolvimento, confirma Dwayne Johnson
Corpo da escritora Nélida Piñon é sepultado no...
Novo Renault Kwid 2027 é revelado com visual...
RJ: Santuário transmite vigília pela paz para celebrar...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Copa do Mundo: como é a tecnologia que anulou o gol da Croácia contra Portugal?
3 de julho de 2026
Após Bugatti, Volkswagen pode vender Lamborghini e Ducati
3 de julho de 2026
iPhone 18 Pro Max pode ter bateria maior que a do Galaxy S26 Ultra
3 de julho de 2026
Jogadores estão cancelando o PS Plus para protestar contra fim da mídia física no PlayStation
3 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Copa do Mundo: como é a tecnologia que anulou o gol da Croácia contra Portugal?
3 de julho de 2026
Após Bugatti, Volkswagen pode vender Lamborghini e Ducati
3 de julho de 2026
iPhone 18 Pro Max pode ter bateria maior que a do Galaxy S26 Ultra
3 de julho de 2026
Jogadores estão cancelando o PS Plus para protestar contra fim da mídia física no PlayStation
3 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Extensão maliciosa do Chrome rouba 2FA do Meta Business Manager

por SampaNews 14 de fevereiro de 2026
14 de fevereiro de 2026
35

Pesquisadores de segurança da Socket descobriram uma extensão maliciosa no Chrome chamada “CL Suite by @CLMasters” que se disfarça como uma ferramenta útil para gerenciar dados do Meta Business Manager, mas na verdade rouba informações extremamente sensíveis das vítimas. 

A extensão estava disponível publicamente na Chrome Web Store, a loja oficial de extensões do Google Chrome.

smart_display

Nossos vídeos em destaque

Como funciona a extensão

Extensão de navegador é um pequeno programa que adiciona funcionalidades extras ao navegador. Ela pode, por exemplo, bloquear anúncios, verificar gramática ou facilitar tarefas específicas. No entanto, para funcionar, essas extensões precisam de permissões para acessar certas partes dos sites que a vítima visita.

A extensão era vendida na Chrome Web Store como uma forma de “extrair dados de pessoas, analisar Business Managers, remover popups de verificação e gerar códigos 2FA”. Ela solicitava acesso amplo aos domínios meta.com e facebook.com.

O Meta Business Suite e o Facebook Business Manager são os painéis administrativos que organizações usam para gerenciar sua presença no Facebook e Instagram em grande escala.

Nesses painéis, os administradores controlam páginas, contas de anúncios, pixels de rastreamento, catálogos de produtos e permissões de usuários. Qualquer extensão que tenha acesso a essas páginas e aos fluxos de autenticação de dois fatores tem exposição direta a dados empresariais de alto valor.

Profissionais de marketing digital, gestores de mídias sociais e analistas de performance frequentemente buscam ferramentas que facilitem a exportação de listas de colaboradores ou geração de relatórios pelo Meta Business Suite. Essa necessidade real torna essas pessoas alvos naturais para extensões que prometem exatamente essas facilidades.

A extensão foi publicada sob o pseudônimo CLMasters, com o e-mail info@clmasters.pro. Ela apareceu em 1º de março de 2025 e foi atualizada pela última vez em 6 de março de 2025. No momento da descoberta, tinha 28 instalações, mas qualquer vítima corria o risco de perder o controle de ativos corporativos e expor dados internos.

Extensão copiava logo do Facebook e mantinha visual profissional na Chrome Web Store. Imagem: Socket.

O desenvolvedor hospedava uma política de privacidade que afirmava que os segredos de 2FA eram armazenados localmente e não transmitidos para servidores externos, que dados de pessoas eram processados localmente, e que apenas dados anonimizados eram enviados. 

O código real conta uma história completamente diferente, uma vez que a extensão enviava tudo para getauth.pro, incluindo sementes TOTP, códigos atuais, e-mails e exportações completas em CSV.

Semente TOTP torna acessos mais seguros – ou não

Quando a vítima ativa a autenticação de dois fatores, ela escaneia um código QR que contém a “semente” TOTP — uma chave secreta alfanumérica única. Essa semente funciona como uma receita matemática que, combinada com o horário atual, gera códigos de seis dígitos que mudam a cada 30 segundos. 

A segurança do sistema depende de que essa semente permaneça secreta. Se roubada, o criminoso pode gerar códigos válidos indefinidamente, quebrando completamente a proteção do 2FA.

A infraestrutura por trás do ataque

O script de segundo plano definia três URLs fixas codificadas no código getauth.pro/api/telemetry.php (exfiltração principal), validate.php (validação falsa) e telegram_notify.php (notificações). Todas as instalações usavam o mesmo token de autenticação hardcoded, e o sistema coletava automaticamente o IP público da vítima para rastreamento entre sessões.

Testes confirmaram que a infraestrutura estava ativa, com certificado TLS válido renovado em janeiro de 2026 — indicando manutenção ativa pelos criminosos.

Os dados passavam por uma função que empacotava informações de diferentes módulos (“2fa”, “people_extractor”, “bm_analytics”), adicionava sistema operacional e timestamp, e marcava eventos para encaminhar ao Telegram. Um detalhe revelador: blocos try-catch vazios engoliam erros silenciosamente, priorizando invisibilidade sobre transparência.

O roubo detalhado de 2FA

Após computar o TOTP, o módulo enviava um pacote com quatro elementos críticos: a semente TOTP completa, o código atual de seis dígitos, o identificador do Facebook e o e-mail da conta. 

Como o TOTP é baseado em tempo, os criminosos recebiam tanto a semente quanto o timestamp, permitindo sincronizar seus geradores com os das vítimas. A partir daí, podiam derivar códigos válidos indefinidamente, mesmo anos depois.

A política afirmava que dados não eram transmitidos, mas cada uso do gerador enviava tudo para getauth.pro com notificação no Telegram, sem nenhum aviso ou consentimento à vítima.

Como funcionava o extrator de contatos

O módulo “People Extractor” monitorava quando a vítima acessava a seção “People” do Business Manager. Ele percorria o DOM da página, extraindo nomes, e-mails, funções, permissões e níveis de acesso, montando um CSV completo.

Modelo de Objeto de Documentos, ou DOM, é a estrutura invisível que o navegador usa para organizar e exibir os elementos na tela da vítima, como se fosse o esqueleto por trás do que aparece visualmente na página

A extensão apresentava isso como exportação conveniente, mas enviava os dados aos criminosos em duas ocasiões: quando a vítima clicava em download e quando a extração terminava. Cada ação entregava duas cópias completas da estrutura organizacional da empresa.

O módulo secreto de análises e pagamentos

Um módulo separado chamado “failsafe-bm-analytics.js” operava silenciosamente coletando IDs de Business Managers, contas de anúncios anexadas, páginas conectadas e, mais importante, detalhes de faturamento — quais métodos de pagamento estavam vinculados a cada conta publicitária. 

Os criminosos recebiam um mapa completo da infraestrutura financeira das vítimas em tempo quase real.

O que os criminosos podem fazer com esses dados

A combinação desses dados permite três ataques principais. Primeiro, fraude de anúncios em larga escala, executando campanhas fraudulentas às custas da empresa e priorizando alvos com mais orçamento. 

Segundo, campanhas de spear phishing personalizadas contra funcionários, usando informações detalhadas sobre funções e acessos. Terceiro, sequestro de ativos a longo prazo — roubo de audiências, modificação de pixels de rastreamento, ou venda de acesso a terceiros.

O mais preocupante é que mesmo desinstalando a extensão, o risco permanece. Os criminosos já armazenaram as sementes TOTP e toda a inteligência de negócios. Para proteção real, é necessário resetar completamente o 2FA, trocar senhas e revisar todos os acessos autorizados.

No momento da publicação, a extensão ainda estava disponível na Chrome Web Store apesar da notificação ao Google, representando risco contínuo para novos usuários.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nosso canal do YouTube e newsletter para mais notícias de segurança e tecnologia.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
GM de Campinas vai usar armas importadas, capacetes e escudos antitumulto no Carnaval
próxima postagem
Dupla é presa com ajuda de drone após tentar roubar moto em rotatória de Paulínia

Você também pode gostar

Copa do Mundo: como é a tecnologia que...

3 de julho de 2026

iPhone 18 Pro Max pode ter bateria maior...

3 de julho de 2026

Jogadores estão cancelando o PS Plus para protestar...

3 de julho de 2026

ChatGPT piorou saúde mental de homem bipolar, defende...

3 de julho de 2026

POSTS MAIS RECENTES

  • Copa do Mundo: como é a tecnologia que anulou o gol da Croácia contra Portugal?
  • Após Bugatti, Volkswagen pode vender Lamborghini e Ducati
  • iPhone 18 Pro Max pode ter bateria maior que a do Galaxy S26 Ultra
  • Jogadores estão cancelando o PS Plus para protestar contra fim da mídia física no PlayStation
  • ChatGPT piorou saúde mental de homem bipolar, defende processo judicial

Siga-nos

  • Recente
  • Popular
  • Copa do Mundo: como é a tecnologia que anulou o gol da Croácia contra Portugal?

    3 de julho de 2026
  • Após Bugatti, Volkswagen pode vender Lamborghini e Ducati

    3 de julho de 2026
  • iPhone 18 Pro Max pode ter bateria maior que a do Galaxy S26 Ultra

    3 de julho de 2026
  • Jogadores estão cancelando o PS Plus para protestar contra fim da mídia física no PlayStation

    3 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Novo alerta de dengue: Campinas tem 36 bairros...

3 de julho de 2026

Moana 3 está em desenvolvimento, confirma Dwayne Johnson

3 de julho de 2026

Corpo da escritora Nélida Piñon é sepultado no...

3 de julho de 2026

Novo Renault Kwid 2027 é revelado com visual...

3 de julho de 2026

RJ: Santuário transmite vigília pela paz para celebrar...

3 de julho de 2026

Leitura obrigatória

  • Copa do Mundo: como é a tecnologia que anulou o gol da Croácia contra Portugal?

    3 de julho de 2026
  • Após Bugatti, Volkswagen pode vender Lamborghini e Ducati

    3 de julho de 2026
  • iPhone 18 Pro Max pode ter bateria maior que a do Galaxy S26 Ultra

    3 de julho de 2026
  • Jogadores estão cancelando o PS Plus para protestar contra fim da mídia física no PlayStation

    3 de julho de 2026
  • ChatGPT piorou saúde mental de homem bipolar, defende processo judicial

    3 de julho de 2026

Newsletter

Posts relacionados

  • Copa do Mundo: como é a tecnologia que anulou o gol da Croácia contra Portugal?

    3 de julho de 2026
  • iPhone 18 Pro Max pode ter bateria maior que a do Galaxy S26 Ultra

    3 de julho de 2026
  • Jogadores estão cancelando o PS Plus para protestar contra fim da mídia física no PlayStation

    3 de julho de 2026
  • ChatGPT piorou saúde mental de homem bipolar, defende processo judicial

    3 de julho de 2026
  • Moana 3 está em desenvolvimento, confirma Dwayne Johnson

    3 de julho de 2026

Mais vistas da semana

Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”
22 de janeiro de 2026
Altman pede desculpas por OpenAI não alertar polícia sobre suspeita de tiroteio
25 de abril de 2026
⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026

Postagens Aleatórias

Overwatch 2 muda de nome e ganha maior atualização da história! Saiba tudo
5 de fevereiro de 2026
Flávio Bolsonaro diz que continuará trabalhando pelo fim da reeleição presidencial
10 de maio de 2026
Lula sanciona a criação de 474 cargos efetivos na Justiça Eleitoral
6 de abril de 2026

Categorias Populares

  • Tecnologia (5.845)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.023)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.090)
  • Bragança Paulista (1.053)
  • Esporte (759)
  • Saúde (487)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home