「CL Suite by @CLMasters」というズルい Chrome拡張機能は、面倒な確認ポップアップを修正し、Meta Business Suite用の2FAコードを生成することを約束してユーザーにインストールさせます。
実際には、2要素認証(2FA)シード、ワンタイムコード、ビジネス分析データなどの機密情報を盗み、サイバー犯罪者のサーバーに送信します。
ID jkphinfhmfkckkcnifhjiplhfoiefffl の下で、この悪質なツールは価値のある広告アカウントと従業員データを扱う Facebook および Instagram マネージャーをターゲットにしています。
ユーザーが2FAジェネレータを使用すると、時間ベースのワンタイムパスワード(TOTP)シードとログインコードを生成する秘密鍵を取得します。これらのシードと現在のコードは getauth[.]pro に直接送信されます。
シードを持つ攻撃者は、無制限の有効なコードを作成でき、2FAを完全に迂回します。
それだけではありません。「People Extractor」機能はビジネスマネージャーを掘り下げ、従業員リスト、メール、アクセスレベルを引き出します。隠されたスクリプトは広告アカウントと支払い設定もスキャンします。
これらはすべて JSON ファイルにまとめられ、攻撃者の API エンドポイント https://getauth[.]pro/api/telemetry.php に送信されます。
コードには「sendTelegram: true」というフラグまであり、盗まれたデータをプライベート Telegram チャネルに送信して、即座にアラートを受け取ります。このセットアップはアカウント乗っ取り、広告詐欺、またはランサムウェア準備を加速します。
アンインストール後でさえダメージは修正されません。攻撃者は TOTP シードを永遠に保持します。被害者はセッションを取り消し、認証器を削除して再度追加することで 2FA をローテーションし、パスワードを変更する必要があります。
セキュリティチームはこれらの侵害指標(IOC)を探すべきです。