ส่วนขยาย Chrome ที่เป็นอันตรายขโมยรหัส 2FA ของ Facebook Business Manager และข้อมูลเชิงวิเคราะห์

ส่วนขยาย Chrome ที่มีชื่อว่า “CL Suite by @CLMasters” (ID: jkphinfhmfkckkcnifhjiplhfoiefffl) ซึ่งอ้างว่าช่วยผู้ใช้ Meta Business ได้แอบขโมยรหัส 2FA และข้อมูลเชิงวิเคราะห์จาก Facebook Business Manager โดยตรง ทำให้บัญชีโฆษณาที่มีมูลค่าสูงมีความเสี่ยงต่อการถูกเข้าควบคุม ส่วนขยายนี้ยังคงมีอยู่ใน Chrome Web Store และมุ่งเป้าไปที่ Meta Business Suite และ Facebook Business Manager โดยเฉพาะ แม้จะมีนโยบายความเป็นส่วนตัวที่ระบุว่าข้อมูล 2FA และข้อมูล Business Manager จะถูกเก็บไว้ในเบราว์เซอร์ แต่จากการวิเคราะห์ทางเทคนิคพบว่าส่วนขยายนี้มีพฤติกรรมเหมือน ‘Infostealer’ หรือมัลแวร์ขโมยข้อมูลมากกว่าเครื่องมือเพิ่มประสิทธิภาพการทำงาน

Severity: วิกฤต

System Impact:

• Facebook Business Manager
• Meta Business Suite
• Google Chrome Browser

Technical Attack Steps:

1. ส่วนขยาย Chrome ที่เป็นอันตราย “CL Suite by @CLMasters” ถูกติดตั้งโดยผู้ใช้ โดยอ้างว่าเป็นเครื่องมืออำนวยความสะดวกสำหรับผู้ใช้ Meta Business
2. ส่วนขยายร้องขอสิทธิ์การเข้าถึงอย่างกว้างขวางบนเว็บไซต์ meta.com และ facebook.com
3. เมื่อผู้ใช้ใช้ฟังก์ชันการสร้างรหัส 2FA ในตัวของส่วนขยาย มันจะจับภาพ TOTP seed (คีย์ลับ) และรหัส 2FA 6 หลักปัจจุบัน
4. ข้อมูล TOTP seed, ชื่อผู้ใช้ Facebook และอีเมลที่ถูกจับภาพ จะถูกส่งไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตีที่ getauth.pro พร้อมตัวเลือกในการส่งต่อข้อมูลไปยังช่องทาง Telegram
5. ส่วนขยายจะทำการขูดข้อมูล ‘People’ (ชื่อ, ที่อยู่อีเมล, บทบาท, สถานะ และระดับการเข้าถึง) จาก Meta Business Manager
6. ไฟล์ CSV ที่มีข้อมูล ‘People’ เหล่านี้จะถูกส่งออกไปยังแบ็คเอนด์ getauth.pro โดยอัตโนมัติ โดยมีตัวเลือกในการส่งต่อผ่าน Telegram
7. นอกจากนี้ ยังมีการรวบรวมข้อมูล Business Manager IDs, บัญชีโฆษณาที่เชื่อมโยง, หน้าเพจที่เชื่อมต่อ และการตั้งค่าการเรียกเก็บเงิน/ชำระเงิน ซึ่งทำให้ผู้โจมตีมีแผนที่สมบูรณ์ของสินทรัพย์ทางธุรกิจ
8. ด้วย TOTP seed ที่ถูกขโมย ผู้โจมตีสามารถสร้างรหัส 2FA ที่ใช้งานได้เรื่อยๆ ซึ่งช่วยให้สามารถเข้าควบคุมบัญชีได้ง่ายขึ้นหากได้รับรหัสผ่านหรือช่องทางการกู้คืนอื่นๆ

Recommendations:

Short Term:

• ตรวจสอบส่วนขยายเบราว์เซอร์ทั้งหมดและลบส่วนขยาย “CL Suite by @CLMasters” ออกทันที
• ถือว่าบัญชีที่ได้รับผลกระทบถูกบุกรุกและดำเนินการตามมาตรการป้องกัน
• ลงทะเบียน 2FA ใหม่ด้วยคีย์ลับใหม่สำหรับบัญชี Facebook และ Meta Business
• ตรวจสอบบทบาทและสมาชิกใน Business Manager เพื่อหาการเปลี่ยนแปลงที่ไม่ได้รับอนุญาต
• เฝ้าระวังการเชื่อมต่อเครือข่ายไปยัง getauth.pro และโครงสร้างพื้นฐานที่เกี่ยวข้อง

Long Term:

• บังคับใช้นโยบายการอนุญาตส่วนขยาย (extension allow-lists) สำหรับเบราว์เซอร์ที่ใช้โดยผู้ดูแลระบบแพลตฟอร์มที่มีมูลค่าสูง เช่น Meta Business
• ตรวจสอบอย่างละเอียดสำหรับส่วนขยายใดๆ ที่มีการขูดข้อมูล (scraping), การข้ามการยืนยัน (verification bypass) หรือการสร้าง 2FA ภายในเบราว์เซอร์สำหรับแพลตฟอร์มที่สำคัญ

Source: https://cybersecuritynews.com/chrome-extension-steals-facebook-2fa-codes/