Разширение за браузър „Бърз достъп до ChatGPT“.

Анализът разкри, че фалшиво разширение за браузър Chrome, наречено „Бърз достъп до ChatGPT“, е било използвано от заплаха за компрометиране на хиляди акаунти във Facebook, включително бизнес акаунти. Разширението беше налично преди това в официалния магазин на Chrome на Google. Това разширение твърди, че предлага на потребителите удобен начин за взаимодействие с популярния AI chatbot ChatGPT. В действителност обаче той е проектиран да събира широк спектър от информация от браузъра на жертвата и да краде бисквитки от всички разрешени активни сесии. Разширението също така инсталира задна вратичка, която дава на автора на зловреден софтуер разрешения за суперадминистратор към акаунта на потребителя във Facebook. Подробности за злонамереното разширение бяха публикувани в доклад на изследователите от Guardio Labs.

Използването на разширението за браузър „Бърз достъп до ChatGPT“ е само един пример за това как участниците в заплахата се опитват да използват широко разпространения интерес към ChatGPT за разпространение на зловреден софтуер и проникване в системи. Заплахата зад фалшивото разширение използва сложни тактики, за да подмами потребителите да инсталират разширението, което подчертава необходимостта потребителите да бъдат бдителни, когато изтеглят разширения за браузъри и друг софтуер от интернет.

Разширението за браузър „Бърз достъп до ChatGPT“ събира чувствителна информация във Facebook

Злонамереното разширение за браузър „Бърз достъп до ChatGPT“ предостави достъп до чатбота на ChatGPT чрез свързване с неговия API, както беше обещано. Разширението обаче събра и пълен списък с бисквитки, съхранени в браузъра на потребителя, включително токени за сигурност и сесия за различни услуги като Google, Twitter и YouTube, както и всякакви други активни услуги.

В случаите, когато потребителят е имал активна удостоверена сесия във Facebook, разширението има достъп до Graph API за разработчици, което му позволява да събере всички данни, свързани с акаунта на потребителя във Facebook. Още по-тревожно е, че компонент в кода на разширението е позволил на заплахата да отвлече Facebook акаунта на потребителя, като регистрира измамно приложение в акаунта на жертвата и накара Facebook да го одобри.

Чрез регистриране на приложение в акаунта на потребителя, заплахата получава пълен администраторски режим на акаунта на жертвата във Facebook, без да се налага да събира пароли или да се опитва да заобиколи двуфакторното удостоверяване на Facebook. Ако разширението се натъкне на бизнес акаунт във Facebook, то ще събере цялата информация, свързана с този акаунт, включително активни в момента промоции, кредитен баланс, валута, минимален праг за фактуриране и дали акаунтът е имал свързано с него кредитно улеснение. След това разширението ще прегледа всички събрани данни, ще ги подготви и ще ги изпрати обратно към сървъра за командване и управление (C2, C&C), използвайки API извиквания въз основа на уместност и тип данни.

Тези констатации подчертават необходимостта интернет потребителите да бъдат внимателни, когато инсталират разширения на браузъра, особено тези, които обещават бърз достъп до популярни услуги. Те също трябва редовно да преглеждат своя списък с инсталирани разширения и да премахват всички, които вече не са необходими или имат съмнително поведение.

Актьорите на заплаха може да се стремят да продадат събраната информация

Според изследователите, заплахата зад разширението за браузър „Бърз достъп до ChatGPT“ вероятно ще продаде информацията, която е събрала от кампанията, на предложилия най-висока цена. Като алтернатива, киберпрестъпниците могат да се опитат да използват отвлечените акаунти във Facebook Business, за да създадат армия от ботове, която след това да използват за публикуване на злонамерени реклами, използвайки акаунтите на жертвите.

Зловреден софтуер е оборудван с механизми за заобикаляне на мерките за сигурност на Facebook при обработка на заявки за достъп до неговите API. Например, преди да предостави достъп чрез своя Meta Graph API, Facebook първо проверява дали заявката е от удостоверен потребител и доверен източник. За да заобиколи тази предпазна мярка, заплахата е включила код в злонамереното разширение на браузъра, което гарантира, че заглавките на всички заявки към уебсайта на Facebook от браузъра на жертвата са променени, така че изглежда, че те също идват от браузъра на жертвата.

Това дава възможност на разширението свободно да преглежда всяка страница във Facebook, включително извършване на API извиквания и действия, като използва заразения браузър и без да оставя никакви следи. Лекотата, с която разширението може да заобиколи мерките за сигурност на Facebook, подчертава необходимостта онлайн платформите да бъдат бдителни при откриването и предотвратяването на такава злонамерена дейност. Злонамереното разширение за браузър „Бърз достъп до ChatGPT“ е премахнато от Google от магазина на Chrome.