Proširenje preglednika "Brzi pristup ChatGPT-u".

Analiza je otkrila da je lažno proširenje preglednika Chrome pod nazivom 'Quick access to ChatGPT' korišteno od strane aktera prijetnje za kompromitiranje tisuća Facebook računa, uključujući poslovne račune. Proširenje je prethodno bilo dostupno u Googleovoj službenoj Chrome trgovini. Ovo proširenje tvrdilo je da korisnicima nudi prikladan način interakcije s popularnim AI chatbotom ChatGPT. Međutim, u stvarnosti je dizajniran za prikupljanje širokog spektra informacija iz preglednika žrtve i krađu kolačića svih ovlaštenih aktivnih sesija. Proširenje je također instaliralo backdoor koji je autoru zlonamjernog softvera dao super-administratorske dozvole za Facebook račun korisnika. Pojedinosti o zlonamjernom proširenju objavljene su u izvješću istraživača Guardio Labsa.

Korištenje ekstenzije preglednika 'Quick access to ChatGPT' samo je jedan primjer kako akteri prijetnji pokušavaju iskoristiti rasprostranjeno zanimanje za ChatGPT za distribuciju zlonamjernog softvera i infiltraciju u sustave. Prijetnja koja stoji iza lažnog proširenja koristila je sofisticirane taktike kako bi prevarila korisnike da instaliraju proširenje, što naglašava potrebu da korisnici budu oprezni prilikom preuzimanja proširenja preglednika i drugog softvera s interneta.

Proširenje preglednika 'Quick access to ChatGPT' prikuplja osjetljive Facebook informacije

Zlonamjerno proširenje preglednika 'Quick access to ChatGPT' omogućilo je pristup ChatGPT chatbotu povezivanjem na njegov API, kao što je obećano. Međutim, proširenje je također prikupilo potpuni popis kolačića pohranjenih u korisničkom pregledniku, uključujući sigurnosne i sesijske tokene za razne usluge kao što su Google, Twitter i YouTube, te sve druge aktivne usluge.

U slučajevima kada je korisnik imao aktivnu autentificiranu sesiju na Facebooku, proširenje je pristupilo Graph API-ju za programere, što mu je omogućilo prikupljanje svih podataka povezanih s korisnikovim Facebook računom. Što je još alarmantnije, komponenta u kodu proširenja omogućila je akteru prijetnje da otme korisnikov Facebook račun tako što je registrirao lažnu aplikaciju na žrtvin račun i natjerao Facebook da to odobri.

Registriranjem aplikacije na korisničkom računu, akter prijetnje dobiva potpuni administratorski način rada na Facebook računu žrtve bez prikupljanja lozinki ili pokušaja zaobilaženja Facebookove dvofaktorske autentifikacije. Ako bi proširenje naišlo na poslovni Facebook račun, prikupilo bi sve informacije povezane s tim računom, uključujući trenutno aktivne promocije, stanje kredita, valutu, minimalni prag za naplatu i je li račun imao kredit povezan s njim. Ekstenzija bi zatim ispitala sve prikupljene podatke, pripremila ih i poslala natrag na Command-and-Control (C2, C&C) poslužitelj koristeći API pozive na temelju relevantnosti i vrste podataka.

Ovi nalazi naglašavaju potrebu da korisnici interneta budu oprezni kada instaliraju ekstenzije preglednika, posebno one koje obećavaju brz pristup popularnim uslugama. Također bi trebali redovito pregledavati svoj popis instaliranih proširenja i ukloniti sva koja više nisu potrebna ili imaju sumnjivo ponašanje.

Akteri prijetnji mogu nastojati prodati prikupljene informacije

Prema istraživačima, prijetnja koja stoji iza ekstenzije preglednika 'Quick access to ChatGPT' vjerojatno će prodati informacije koje je prikupio iz kampanje onome tko ponudi najviše. Alternativno, kibernetički kriminalci mogu pokušati upotrijebiti otete Facebook poslovne račune za stvaranje vojske robota, koju bi zatim mogli koristiti za objavljivanje zlonamjernih oglasa koristeći račune žrtava.

Zlonamjerni softver opremljen je mehanizmima za zaobilaženje Facebookovih sigurnosnih mjera prilikom obrade zahtjeva za pristup njegovim API-jima. Na primjer, prije odobravanja pristupa putem svog Meta Graph API-ja, Facebook prvo provjerava je li zahtjev od autentificiranog korisnika i pouzdanog izvora. Kako bi zaobišao ovu mjeru opreza, akter prijetnje uključio je kod u zlonamjernu ekstenziju preglednika koji je osiguravao da se zaglavlja svih zahtjeva upućenih Facebook web stranici iz žrtvinog preglednika modificiraju, tako da se čini da i oni potječu iz žrtvina preglednika.

Ovo proširenju daje mogućnost slobodnog pregledavanja bilo koje Facebook stranice, uključujući upućivanje API poziva i radnji, korištenjem zaraženog preglednika i bez ostavljanja ikakvog traga. Lakoća s kojom bi proširenje moglo zaobići sigurnosne mjere Facebooka naglašava potrebu da online platforme budu oprezne u otkrivanju i sprječavanju takvih zlonamjernih aktivnosti. Google je u međuvremenu uklonio zlonamjerno proširenje preglednika 'Quick access to ChatGPT' iz Chromeove trgovine.