Gefährliche Chrome-Erweiterung entwendet Zugangsdaten von Meta Business-Konten

Die Chrome-Erweiterung „CL Suite von @CLMasters“ gibt vor, Arbeitsabläufe im Meta Business Manager zu vereinfachen, leitet jedoch im Hintergrund sensible Unternehmensdaten an Server der Entwickler weiter. Das Sicherheitsteam von Socket hat die Schadsoftware identifiziert und analysiert.

Getarnt als Produktivitätswerkzeug

Die Erweiterung mit der ID jkphinfhmfkckkcnifhjiplhfoiefffl ist weiterhin im Chrome Web Store verfügbar. Sie bewirbt sich als Hilfsmittel zum Extrahieren von Personendaten, Analysieren des Business Managers und Generieren von Zwei-Faktor-Authentifizierungscodes. Dabei fordert sie umfassenden Zugriff auf die Domains meta.com und facebook.com.

In der Datenschutzerklärung versichern die Entwickler, dass 2FA-Daten und Business Manager-Daten lokal im Browser verbleiben. Die technische Analyse zeigt jedoch ein anderes Bild: Der Programmcode überträgt TOTP-Seeds, aktuelle Sicherheitscodes, CSV-Exporte mit Kontaktdaten und Analyseinformationen an den Server getauth[.]pro.

Systematischer Datenabfluss über mehrere Kanäle

Die Erweiterung nutzt eine fest codierte Telemetrie-Pipeline. Alle Installationen kommunizieren mit demselben Backend und verwenden einen identischen Bearer-Token für die Authentifizierung. Das System erfasst zusätzlich die öffentliche IP-Adresse der Nutzer, um Opfer über verschiedene Sitzungen hinweg zu verfolgen.

Besonders kritisch: Viele Telemetrieereignisse tragen das Flag „sendTelegram: true“. Das Backend leitet diese Datenpakete automatisch an einen Telegram-Kanal weiter, der von den Angreifern kontrolliert wird. Fehlermeldungen werden systematisch unterdrückt – leere Try-Catch-Blöcke verhindern, dass Anwender von der Datenübertragung erfahren.

Aushebeln der Zwei-Faktor-Authentifizierung

Sobald Nutzer den integrierten 2FA-Generator verwenden, sendet die Software folgende Informationen:

• Das TOTP-Geheimnis (Seed), mit dem sich beliebig viele gültige Codes erzeugen lassen
• Den aktuell gültigen sechsstelligen Code
• Facebook-Benutzernamen und E-Mail-Adressen zur Kontenzuordnung

Diese Kombination neutralisiert den Schutz durch Zwei-Faktor-Authentifizierung vollständig. Sollten Angreifer über andere Quellen wie Infostealer oder Datenlecks an Passwörter gelangen, können sie mit den gestohlenen TOTP-Seeds jederzeit gültige Sicherheitscodes generieren. Das Risiko besteht auch nach Deinstallation der Erweiterung fort, da die Angreifer die Seeds dauerhaft besitzen.

Abgreifen von Geschäftskontakten

Das Modul „People Extractor“ durchsucht die Business Manager-Oberfläche nach Kontaktinformationen. Es analysiert DOM-Strukturen, extrahiert Tabellenzeilen und erstellt CSV-Dateien mit:

• Namen und E-Mail-Adressen aller Teammitglieder
• Rollenbezeichnungen und Berechtigungsstufen
• Status-Informationen zu Einladungen und Zugriffsrechten

Während die Benutzeroberfläche dies als praktische Exportfunktion darstellt, wird die identische CSV-Datei zeitgleich an die Angreifer übermittelt. Dies verschafft einen vollständigen Überblick über Organisationsstrukturen und Zugriffsrechte in Unternehmen.

Einblick in Werbekonten und Zahlungsstrukturen

Ein zusätzliches Analysemodul erfasst Daten auf Business Manager-Ebene. Die generierten Berichte enthalten:

• Identifikationsnummern und Namen der Business Manager
• Zugeordnete Werbekonten mit Details
• Verknüpfte Seiten und weitere Assets
• Informationen zu Abrechnungs- und Zahlungskonfigurationen

Die Erweiterung extrahiert diese Zusammenstellungen unmittelbar nach deren Erstellung. Angreifer erhalten dadurch nahezu in Echtzeit Informationen über vorhandene Strukturen, kontrollierte Werbekonten und deren Finanzierung. Diese Einblicke lassen sich für Werbebetrug oder gezielte Übernahmeversuche nutzen.

Aktuelle Verfügbarkeit und minimale Verbreitung

Die Erweiterung erschien am 1. März 2025 im Chrome Web Store und erhielt am 6. März 2025 ein Update. Socket hat Google über den Fund informiert und eine Entfernung beantragt. Zum Zeitpunkt der Veröffentlichung zählt die Erweiterung 28 Nutzer.

Der Entwickler tritt unter dem Alias CLMasters auf, die Registrierungs-E-Mail lautet info@clmasters[.]pro. Dynamische Tests bestätigen, dass der Telemetrie-Endpunkt unter getauth[.]pro aktiv ist. Das TLS-Zertifikat wurde am 26. Januar 2026 erneuert und bleibt bis April 2026 gültig – ein Hinweis auf fortlaufende Wartung der Infrastruktur.

Empfehlungen für Unternehmen

Organisationen, die Meta Business Suite oder Facebook Business Manager nutzen, sollten Erweiterungen mit weitreichenden Berechtigungen kontrollieren. Sinnvolle Maßnahmen umfassen:

• Implementierung von Whitelist-Verfahren für Browser-Erweiterungen
• Überprüfung aller Erweiterungen mit Host-Zugriff auf Geschäftsplattformen
• Monitoring von Netzwerkverkehr auf ungewöhnliche Domains
• Einsatz spezialisierter Schutzlösungen für Chrome-Erweiterungen

Sicherheitsteams können nach Erweiterungen mit übermäßigen Host-Berechtigungen, gemeinsam genutzten API-Schlüsseln und versteckten Telemetrie-Funktionen suchen. Besondere Aufmerksamkeit verdienen unerwartete Datenströme mit TOTP-Seeds oder Geschäftskontakten.

Technische Indikatoren

Erweiterungsdetails:

• Name: CL Suite von @CLMasters
• Erweiterungs-ID: jkphinfhmfkckkcnifhjiplhfoiefffl
• Website: clmasters[.]pro

Infrastruktur:

• Command-and-Control-Domain: getauth[.]pro
• API-Endpunkt: https://getauth[.]pro/api/telemetry.php
• Telegram-Weiterleitung: https://getauth[.]pro/api/telegram_notify.php
• Fest codierter API-Schlüssel: w7ZxKp3F8RtJmN5qL2yAcD9v

Die zugewiesenen MITRE ATT&CK-Techniken umfassen unter anderem T1556.006 (Manipulation der Multi-Faktor-Authentifizierung), T1005 (Datensammlung aus lokalem System) und T1567 (Exfiltration über Webdienste).

„Die in diesem Beitrag bereitgestellten Informationen wurden sorgfältig recherchiert, erheben jedoch keinen Anspruch auf Vollständigkeit oder absolute Richtigkeit. Sie dienen ausschließlich der allgemeinen Orientierung und ersetzen keine professionelle Beratung. Die Redaktion übernimmt keine Haftung für eventuelle Fehler, Auslassungen oder Folgen, die aus der Nutzung der Informationen entstehen.“

Auch interessant: