概要

セキュリティ研究者により発見された悪意のあるGoogle Chrome拡張機能「CL Suite」が、Facebookビジネスマネージャーアカウントの2段階認証（2FA）コードと詳細なビジネス分析データを盗んでいることが明らかになりました。

拡張機能の概要

CL Suiteは、生産性ツールとして宣伝されている一方で、実際にはユーザーが認証情報を入力する際に2FAシークレットや一時的なコードを盗みます。この拡張機能は、ユーザーに「検証ポップアップの削除」と「2FAコード生成」を提供すると偽装しています。

データ窃取の仕組み

CL Suiteは、Time-based One-Time Password (TOTP) シークレットキーを使用して2FAコードを生成します。拡張機能がユーザーとインタラクションするたびに、これらのシークレットキーと現在の有効なコードがサイバー犯罪者のコマンドアンドコントロールサーバー（getauth[.]pro）に送信されます。

被害範囲

この拡張機能は、高価値のFacebookやInstagram資産を管理しているユーザーを標的としています。また、「People Extractor」モジュールを使用して従業員リスト、メールアドレス、アクセスレベルなどの内部ビジネスインテリジェンスデータも盗みます。

対策

セキュリティチームは以下の手順を実施することをお勧めします：

• 拡張機能のアンインストール
• アクティブセッションの無効化
• 2FAシークレットキーの再設定

これらの手順を実施することで、アカウントが乗っ取られるリスクを最小限に抑えることができます。

元記事: https://gbhackers.com/malicious-chrome-extension-exposes-facebook-manager/