Fake Madgicx Plus e SocialMetrics Extensions Estão Sequestrando Contas do Meta Business

Pesquisadores de segurança cibernética descobriram duas campanhas que distribuem extensões de navegador falsas usando anúncios maliciosos e sites falsos para roubar dados sensíveis.

A campanha de malvertising, conforme relatado pela Bitdefender, promove falsas extensões "Meta Verified" chamadas SocialMetrics Pro que alegam desbloquear o selo de verificação azul para perfis do Facebook e Instagram. Pelo menos 37 anúncios maliciosos foram observados distribuindo a extensão.

Na realidade, a extensão - hospedada no serviço legítimo Box - coleta cookies de sessão do Facebook e os envia para um bot do Telegram controlado pelos atacantes. Variantes selecionadas da extensão fraudulenta usam os cookies roubados para interagir com a API do Facebook Graph para obter informações adicionais das contas.

O objetivo final é vender valiosas contas do Facebook Business e Ads em fóruns underground para outros fraudadores, ou reutilizá-las para alimentar mais campanhas de malvertising.

Paralelamente, outra campanha está visando anunciantes do Meta com extensões maliciosas do Chrome distribuídas via sites falsos que se passam por ferramentas de otimização de anúncios com IA. A operação usa uma plataforma falsa chamada Madgicx Plus.

As extensões, algumas ainda disponíveis na Chrome Web Store, se promovem como ferramentas de produtividade, mas operam como malware de duplo propósito capaz de roubar credenciais, acessar tokens de sessão e permitir tomada de contas.

Uma vez instaladas, as extensões ganham acesso total a todos os sites que o usuário visita, permitindo que os atacantes injetem scripts arbitrários, interceptem e modifiquem tráfego de rede, monitorem atividade de navegação e capturem dados sensíveis.

As campanhas exibem características associadas a threat actors de língua vietnamita, conhecidos por adotar várias famílias de stealers para atingir e obter acesso não autorizado a contas do Facebook.