"وصول سريع إلى ملحق متصفح ChatGPT"

كشف التحليل أن امتداد متصفح Chrome المزيف يسمى "الوصول السريع إلى ChatGPT" قد تم استخدامه من قبل أحد الفاعلين للتهديد لخرق الآلاف من حسابات Facebook ، بما في ذلك حسابات الأعمال. كان الامتداد متاحًا مسبقًا في متجر Chrome الرسمي من Google. يزعم هذا الامتداد أنه يوفر للمستخدمين طريقة ملائمة للتفاعل مع روبوت الدردشة AI الشهير ChatGPT. ومع ذلك ، في الواقع ، تم تصميمه لجمع مجموعة واسعة من المعلومات من متصفح الضحية وسرقة ملفات تعريف الارتباط لجميع الجلسات النشطة المصرح بها. قام الامتداد أيضًا بتثبيت باب خلفي منح مؤلف البرامج الضارة أذونات المشرف الفائق لحساب المستخدم على Facebook. تم نشر تفاصيل حول الامتداد الخبيث في تقرير للباحثين في Guardio Labs.

يعد استخدام امتداد المتصفح "الوصول السريع إلى ChatGPT" مجرد مثال واحد على الطريقة التي يحاول بها المهاجمون استغلال الاهتمام الواسع بـ ChatGPT لتوزيع البرامج الضارة واختراق الأنظمة. استخدم ممثل التهديد وراء الامتداد الوهمي تكتيكات متطورة لخداع المستخدمين لتثبيت الامتداد ، مما يسلط الضوء على حاجة المستخدمين إلى توخي الحذر عند تنزيل امتدادات المتصفح والبرامج الأخرى من الإنترنت.

يقوم ملحق المتصفح "الوصول السريع إلى ChatGPT" بجمع معلومات حساسة عن Facebook

أتاح امتداد المتصفح الضار "الوصول السريع إلى ChatGPT" إمكانية الوصول إلى chatbot ChatGPT من خلال الاتصال بواجهة برمجة التطبيقات الخاصة به ، كما هو موعود. ومع ذلك ، حصد الامتداد أيضًا قائمة كاملة من ملفات تعريف الارتباط المخزنة في متصفح المستخدم ، بما في ذلك الرموز المميزة للأمان والجلسة لخدمات متنوعة مثل Google و Twitter و YouTube وأي خدمات نشطة أخرى.

في الحالات التي يكون فيها المستخدم لديه جلسة مصادقة نشطة على Facebook ، يصل الامتداد إلى Graph API للمطورين ، مما سمح له بجمع جميع البيانات المرتبطة بحساب المستخدم على Facebook. الأمر الأكثر إثارة للقلق هو أن أحد المكونات في كود الامتداد مكّن الفاعل من اختطاف حساب Facebook الخاص بالمستخدم عن طريق تسجيل تطبيق مارق على حساب الضحية والحصول على موافقة Facebook عليه.

من خلال تسجيل تطبيق على حساب المستخدم ، اكتسب ممثل التهديد وضع المسؤول الكامل على حساب الضحية على Facebook دون الحاجة إلى جمع كلمات المرور أو محاولة تجاوز المصادقة الثنائية على Facebook. إذا واجه الامتداد حساب Business Facebook ، فسيحصد جميع المعلومات المتعلقة بهذا الحساب ، بما في ذلك العروض الترويجية النشطة حاليًا ، ورصيد الائتمان ، والعملة ، والحد الأدنى لاستحقاق السداد ، وما إذا كان الحساب يحتوي على تسهيل ائتماني مرتبط به. سيقوم الامتداد بعد ذلك بفحص جميع البيانات التي تم حصادها ، وإعدادها ، وإرسالها مرة أخرى إلى خادم الأوامر والتحكم (C2 ، C&C) باستخدام استدعاءات واجهة برمجة التطبيقات على أساس الصلة ونوع البيانات.

تؤكد هذه النتائج على حاجة مستخدمي الإنترنت إلى توخي الحذر عند تثبيت ملحقات المتصفح ، وخاصة تلك التي تعد بالوصول السريع إلى الخدمات الشائعة. يجب عليهم أيضًا مراجعة قائمة الامتدادات المثبتة الخاصة بهم بانتظام وإزالة أي ملحقات لم تعد مطلوبة أو ذات سلوك مشكوك فيه.

قد تسعى جهات التهديد إلى بيع المعلومات التي تم جمعها

وفقًا للباحثين ، من المرجح أن يقوم ممثل التهديد وراء امتداد المتصفح "الوصول السريع إلى ChatGPT" ببيع المعلومات التي حصل عليها من الحملة لمن يدفع أعلى سعر. بدلاً من ذلك ، قد يحاول مجرمو الإنترنت استخدام حسابات Facebook Business التي تم اختراقها لإنشاء جيش روبوت ، والذي يمكنهم بعد ذلك استخدامه لنشر إعلانات ضارة باستخدام حسابات الضحايا.

تم تجهيز البرامج الضارة بآليات لتجاوز إجراءات أمان Facebook عند التعامل مع طلبات الوصول إلى واجهات برمجة التطبيقات الخاصة به. على سبيل المثال ، قبل منح الوصول عبر واجهة برمجة تطبيقات Meta Graph API الخاصة به ، يتحقق Facebook أولاً من أن الطلب من مستخدم مصادق وأصل موثوق. للتحايل على هذا الإجراء الوقائي ، قام المهاجم بتضمين رمز في ملحق المتصفح الخبيث الذي يضمن تعديل رؤوس جميع الطلبات إلى موقع Facebook من متصفح الضحية ، بحيث يبدو أنها صادرة من متصفح الضحية أيضًا.

يمنح هذا الامتداد القدرة على تصفح أي صفحة على Facebook بحرية ، بما في ذلك إجراء استدعاءات وإجراءات API ، باستخدام المتصفح المصاب ، ودون ترك أي أثر. إن السهولة التي يمكن أن يتحايل بها الامتداد على التدابير الأمنية لفيسبوك تؤكد الحاجة إلى أن تكون المنصات عبر الإنترنت يقظة في اكتشاف ومنع مثل هذا النشاط الضار. منذ ذلك الحين ، تمت إزالة امتداد المتصفح الضار "الوصول السريع إلى ChatGPT" بواسطة Google من متجر Chrome.