Campanhas distintas abusam de permissões de navegador para extrair códigos 2FA, listas corporativas, conteúdo de e-mail, histórico de navegação e controle de contas em serviços populares.
| Componente | Extensões do Google Chrome usadas como fachada para ferramentas de produtividade, personalização ou assistentes de IA, incluindo CL Suite by @CLMasters, VK Styles e um conjunto AiFrame de 32 complementos. |
| Vetor | Instalação voluntária de extensões publicadas como utilitários legítimos, seguida de abuso de permissões do navegador, leitura de páginas autenticadas, injeção de scripts, iframes remotos e coleta de dados diretamente do DOM. |
| Impacto | Exfiltração de sementes TOTP, códigos 2FA, listas de contatos e permissões do Meta Business Manager, manipulação de contas VK, possível envio de conteúdo visível do Gmail a servidores externos e coleta ampla de histórico de navegação. |
| Prioridade | Auditar extensões instaladas, restringir permissões por política corporativa, separar perfis para tarefas sensíveis e remover complementos com acesso amplo a páginas autenticadas ou interfaces remotas controladas por terceiros. |
| Artefatos | CL Suite by @CLMasters usa o ID jkphinfhmfkckkcnifhjiplhfoiefffl; a campanha VK Styles inclui a extensão VKfeed - Download Music and Video from VK com ID pcdgkgbadeggbnodegejccjffnoakcoh. |
| IoCs | Infraestrutura e alvos citados incluem getauth[.]pro, claude.tapnetic[.]pro, vk[.]com/m0nda, facebook[.]com, meta[.]com e mail.google[.]com, todos tratados como indicadores defangados ou superfícies observadas. |
Uma série de descobertas envolvendo extensões do Chrome mostra um padrão recorrente de abuso do navegador como ponto de coleta privilegiado. Em vez de depender apenas de exploração de vulnerabilidade, as campanhas descritas se apoiam na confiança concedida a complementos instalados pelo usuário. Depois de adicionadas ao navegador, as extensões passam a operar dentro de sessões já autenticadas, onde conseguem observar páginas corporativas, interfaces de e-mail, perfis sociais e conteúdo de abas ativas com menor atrito técnico do que um malware tradicional no sistema operacional.
O caso mais direcionado envolve a extensão CL Suite by @CLMasters, apresentada como ferramenta para usuários de Meta Business Suite e Facebook Business Manager. A descrição pública prometia recursos relacionados a raspagem de dados, remoção de pop-ups de verificação e geração de códigos de autenticação de dois fatores. O comportamento observado, porém, incluía transmissão de sementes TOTP, códigos temporários, exportações de pessoas do Business Manager e dados analíticos para infraestrutura externa. O número de instalações era baixo, com 33 usuários informados, mas o alvo era sensível porque contas de negócios em plataformas Meta normalmente concentram páginas, anúncios, permissões administrativas e informações de cobrança.
Outras campanhas ampliam o risco para perfis diferentes de usuário. O conjunto VK Styles atingiu cerca de 500.000 usuários do VKontakte por meio de extensões de personalização, enquanto o cluster AiFrame reuniu 32 add-ons anunciados como assistentes de inteligência artificial e acumulou mais de 260.000 instalações. Há ainda referência a 287 extensões que coletavam histórico de navegação para data brokers, com 37,4 milhões de instalações, o que representa uma escala muito maior e reforça que o problema não está restrito a um único complemento ou loja temática.
Na CL Suite, o fluxo parte de páginas autenticadas do ecossistema Meta. A extensão mira visualizações de pessoas no Business Manager, navega por superfícies associadas a facebook[.]com e meta[.]com e monta arquivos CSV com nomes, endereços de e-mail, funções, permissões, status e detalhes de acesso. Ela também enumera entidades do Business Manager e ativos vinculados, incluindo IDs e nomes de gerenciadores, contas de anúncios anexadas, páginas conectadas, ativos associados e detalhes de configuração de cobrança e pagamento. Esses dados não equivalem a senhas, mas são suficientes para mapear estrutura administrativa, identificar usuários com privilégio e orientar ataques posteriores contra contas de maior valor.
A parte mais crítica do comportamento da CL Suite envolve material de autenticação. O complemento coleta semente TOTP e código 2FA atual relacionado a contas Facebook e Meta Business. Se um operador já possuir senha obtida por outro caminho, como logs de infostealer ou bases de credenciais, esse material pode reduzir a efetividade do segundo fator naquele momento operacional. O contexto não confirma roubo direto de senha pela extensão, portanto o impacto deve ser entendido como coleta de dados de sessão e de autenticação auxiliar, com risco condicionado quando combinado a credenciais previamente comprometidas.
No VK Styles, o comportamento é de manipulação ativa da conta. As extensões se apresentavam como ferramentas de customização do VK, mas o código embutido assinava usuários automaticamente em grupos controlados pelo operador, redefinia preferências de conta a cada 30 dias e manipulava tokens CSRF para contornar proteções do serviço. A campanha usava metadados HTML de um perfil VK, vk[.]com/m0nda, como resolvedor morto para ocultar URLs de payload de próximo estágio. Esse payload ficava em um repositório público associado ao usuário 2vk, em um arquivo chamado C, com 17 commits entre junho de 2025 e janeiro de 2026, indicando manutenção incremental e adição de funcionalidades ao longo do tempo.
No cluster AiFrame, a arquitetura maliciosa era diferente. As extensões prometiam resumo, chat, escrita, assistência para Gmail e recursos de IA, mas delegavam funcionalidade central a uma interface remota em iframe de tela cheia apontada para claude.tapnetic[.]pro. Esse desenho permitia alterar comportamento pelo lado do servidor, sem depender de uma nova atualização na Chrome Web Store. Quando instruídas pelo iframe, as extensões consultavam a aba ativa, acionavam um script de conteúdo e extraíam texto legível de artigos com a biblioteca Mozilla Readability. Um subconjunto também mirava Gmail, lendo mensagens visíveis diretamente do DOM quando a vítima acessava mail.google[.]com e repassando texto e contexto para infraestrutura de terceiros.
A superfície mais sensível está em navegadores usados para trabalho administrativo, publicidade, comunicação e gestão de identidades sociais. Um complemento com permissões amplas pode observar dados depois que autenticação, MFA e controles de acesso já foram satisfeitos pelo usuário legítimo. Isso muda a prioridade defensiva: a extensão não precisa quebrar a autenticação do provedor se conseguir operar dentro de uma sessão autorizada e coletar informações renderizadas na página.
Em ambientes corporativos, o risco aumenta quando o mesmo perfil do Chrome é usado para tarefas pessoais, administração de páginas, contas de anúncios, leitura de e-mail e acesso a aplicações internas. Extensões de IA e produtividade têm apelo alto porque prometem resumir textos, gerar respostas ou automatizar tarefas. Extensões de personalização também costumam parecer menos críticas para o usuário final, mas podem executar scripts em páginas específicas e manter controle persistente sobre preferências e interações da conta.
- Contas Meta Business Suite e Facebook Business Manager com usuários, permissões, ativos, contas de anúncios e detalhes de cobrança visíveis em páginas autenticadas.
- Usuários de VKontakte, sobretudo públicos de língua russa, Europa Oriental, Ásia Central e comunidades da diáspora russa, afetados por extensões de personalização VK Styles.
- Usuários de extensões AiFrame anunciadas como assistentes de IA para resumo, chat, escrita e Gmail, com risco de exposição de conteúdo legível de páginas e mensagens visíveis.
- Navegadores com histórico de navegação coletado por extensões voltadas a monetização por data brokers, especialmente quando o usuário mantém sessões profissionais e pessoais no mesmo perfil.
A investigação defensiva deve começar pelo inventário de extensões instaladas, seus IDs, permissões declaradas, data de instalação, origem e escopo de execução em hosts. O ID jkphinfhmfkckkcnifhjiplhfoiefffl deve ser tratado como artefato de alta prioridade em estáções usadas para Meta Business. Para VK, o ID pcdgkgbadeggbnodegejccjffnoakcoh aparece associado a uma extensão da campanha VK Styles. Em ambos os casos, a simples presença do complemento em um perfil com sessões sensíveis justifica contenção e revisão de atividade da conta afetada.
Na camada de rede, equipes devem procurar conexões do navegador ou de processos associados ao Chrome para domínios defangados como getauth[.]pro e claude.tapnetic[.]pro. O valor desses indicadores está na correlação com atividade de extensão, não em bloqueio isolado. Acesso simultâneo a páginas de administração Meta, Gmail ou VK seguido de tráfego para infraestrutura externa não relacionada ao serviço pode indicar coleta de conteúdo renderizado ou transmissão de metadados. Para a campanha VK Styles, consultas a vk[.]com/m0nda com uso de metadados HTML como resolvedor de próxima etapa merecem inspeção adicional.
Em identidade e aplicações, sinais úteis incluem alterações inesperadas em permissões do Business Manager, exportações de listas de pessoas, mudanças de associação a grupos VK, redefinições periódicas de preferências e uso incomum de funcionalidades relacionadas a Gmail em extensões de IA. A análise deve considerar que parte da atividade ocorre dentro da sessão legítima do usuário, portanto logs podem registrar ações válidas do ponto de vista de autenticação, mas anômalas pelo contexto, horário, sequência e extensão instalada no endpoint.
- Inventariar extensões do Chrome por ID, versão, origem, permissões e perfis de usuário com acesso administrativo.
- Correlacionar tráfego para getauth[.]pro e claude.tapnetic[.]pro com sessões abertas em Meta Business, Gmail ou outros serviços sensíveis.
- Procurar criação ou exportação incomum de CSVs contendo pessoas, permissões, IDs de Business Manager, contas de anúncio, páginas e ativos vinculados.
- Verificar alterações recorrentes em contas VK, inscrições não reconhecidas em grupos e redefinição de preferências em ciclos próximos de 30 dias.
- Revisar extensões com iframes remotos, scripts de conteúdo amplos, leitura de DOM e permissões para consultar abas ativas.
A resposta deve tratar extensão maliciosa como comprometimento do ambiente de navegação, não apenas como software indesejado. Em estáções afetadas, a remoção do complemento precisa ser acompanhada por revogação de sessões, revisão de tokens, verificação de permissões administrativas e auditoria de ações recentes nos serviços acessados. Para contas Meta, a prioridade é revisar usuários, funções, permissões, contas de anúncios, páginas conectadas e configurações de cobrança. Como o contexto indica coleta de TOTP e códigos 2FA, também é prudente reconfigurar o segundo fator quando houver suspeita de exposição da semente.
No controle preventivo, organizações devem adotar allowlisting de extensões, bloquear instalação fora de uma lista aprovada e separar perfis de navegador para tarefas administrativas. Perfis usados para Business Manager, e-mail corporativo ou console de serviços não devem carregar extensões de IA, personalização, download de mídia ou scraping sem revisão técnica. A concessão de permissões deve ser mínima, com atenção especial a extensões que solicitam acesso a todas as páginas, leitura de abas, execução de scripts de conteúdo e comunicação com domínios externos.
A governança também deve incluir revisão periódica de extensões já aprovadas. O caso AiFrame mostra que funcionalidades remotas podem alterar o comportamento efetivo sem uma atualização visível na loja, enquanto o VK Styles mostra evolução contínua de payload em repositório público. A validação não pode se limitar à reputação inicial: é necessário acompanhar mudanças de código, permissões, domínios acessados e comportamento em páginas sensíveis. Para usuários finais, a orientação prática é reduzir o conjunto de complementos ao estritamente necessário e remover qualquer extensão que replique dados de páginas autenticadas para servidores externos sem justificativa operacional clara.
- Remover extensões identificadas e coletar evidências de perfil, ID, permissões e horários antes de apagar artefatos relevantes para investigação.
- Encerrar sessões ativas, trocar credenciais quando houver risco combinado e reconfigurar TOTP se sementes ou códigos 2FA puderem ter sido expostos.
- Revisar usuários, funções, permissões, ativos vinculados e configurações de cobrança no Meta Business Manager de contas que usaram a CL Suite.
- Aplicar política corporativa de allowlisting para Chrome e bloquear categorias não aprovadas em perfis com acesso a e-mail, anúncios, administração social e dados internos.
- Separar navegadores ou perfis para tarefas sensíveis, sem extensões de conveniência, IA, scraping, personalização ou download de mídia fora do processo de aprovação.
0 Comentários