Исследователи в области кибербезопасности обнаружили зловредное расширение для браузера Google Chrome, которое маскируется под утилиту для работы с Meta Business Suite и Facebook Business Manager, но на самом деле крадёт конфиденциальные данные.
Расширение под названием CL Suite by @CLMasters (ID: jkphinfhmfkckkcnifhjiplhfoiefffl) доступно в Chrome Web Store с 1 марта 2025 г. и официально обещает функции вроде удаления всплывающих подтверждений и генерации 2FA-кодов.
На практике оно делает гораздо больше:
запрашивает обширные права на сайте meta.com и facebook.com;
незаметно перехватывает и отправляет третьей стороне данные двухфакторной аутентификации (TOTP-коды), списки контактов менеджера бизнеса и данные аналитики;
передаёт эти данные на сервер злоумышленников (например, getauth[.]pro) или даже в управляющий Telegram-канал.
Несмотря на то, что расширение имеет всего несколько десятков установок, такая утечка делает возможными целенаправленные атаки на учётные записи бизнеса, а злоумышленник может использовать полученные данные для последующих взломов.
Другие кампании с вредоносными расширениями
Помимо CL Suite, исследователи отмечают ряд других опасных кампаний, где расширения похищают данные пользователей и манипулируют браузером:
1. VKontakte Styles
Сеть расширений, ориентированная на пользователей русскоязычного соц-сети ВКонтакте. Они навязывают подписки на группы, изменяют CSRF-токены, обходят защиту и поддерживают постоянный контроль над аккаунтом.
2. Фальшивые AI-ассистенты
Группа из примерно 30 расширений, будто бы помогающих с ИИ-запросами и письмами, на самом деле обеспечивает удалённый доступ к DOM-страницам браузера и отправляет серию пользовательских данных на сервер злоумышленников.
Проблема усугубляется тем, что многие угрозы маскируются под легитимные инструменты, будь то менеджеры паролей, AI-ассистенты, утилиты для бизнеса или блокировщики рекламы. Злоумышленники публикуют расширения в официальном магазине Chrome Web Store, манипулируют описанием и интерфейсом, чтобы казаться безобидными, просят широкие права доступа, которые на самом деле не нужны для заявленных функций и только затем активируют скрытую функциональность для кражи данных.
Это не единичные случаи: за последние месяцы было обнаружено множество подобных кампаний, охватывающих сотни расширений и миллионы установок по всему миру.
Как защититься
Чтобы снизить риск от таких угроз:
удаляйте расширения, которые вы не используете;
проверяйте требуемые разрешения и сомневайтесь в расширениях с ненужными полномочиями;
отдавайте предпочтение разработчикам с проверенной репутацией;
регулярно проверяйте установленные расширения на предмет ненужных и подозрительных функций.
Даже браузер, считающийся безопасным, становится зеркалом рисков, когда расширения получают широкие привилегии, особенно если они скрывают настоящие намерения за полезным интерфейсом.
Источник: Hacker News