Extensió del navegador "Accés ràpid a ChatGPT".
L'anàlisi ha revelat que un actor d'amenaces ha utilitzat una extensió falsa del navegador Chrome anomenada "Accés ràpid a ChatGPT" per comprometre milers de comptes de Facebook, inclosos els comptes empresarials. L'extensió estava disponible anteriorment a la botiga oficial de Chrome de Google. Aquesta extensió afirmava oferir als usuaris una manera còmoda d'interactuar amb el popular chatbot d'IA ChatGPT. Tanmateix, en realitat, va ser dissenyat per recollir una àmplia gamma d'informació del navegador de la víctima i robar galetes de totes les sessions actives autoritzades. L'extensió també va instal·lar una porta posterior que donava a l'autor de programari maliciós permisos de superadministrador al compte de Facebook de l'usuari. Els detalls sobre l'extensió maliciosa es van publicar en un informe dels investigadors de Guardio Labs.
L'ús de l'extensió del navegador "Accés ràpid a ChatGPT" és només un exemple de com els actors de les amenaces han intentat explotar l'interès generalitzat en ChatGPT per distribuir programari maliciós i infiltrar-se en sistemes. L'actor d'amenaça darrere de l'extensió falsa va utilitzar tàctiques sofisticades per enganyar els usuaris perquè instal·lin l'extensió, cosa que posa de manifest la necessitat que els usuaris estiguin vigilants quan baixin extensions del navegador i altres programaris d'Internet.
L'extensió del navegador "Accés ràpid a ChatGPT" recopila informació sensible de Facebook
L'extensió maliciosa del navegador "Accés ràpid a ChatGPT" va proporcionar accés al chatbot de ChatGPT connectant-se a la seva API, tal com s'havia promès. Tanmateix, l'extensió també va recopilar una llista completa de galetes emmagatzemades al navegador de l'usuari, incloses fitxes de seguretat i sessió per a diversos serveis com Google, Twitter i YouTube, i qualsevol altre servei actiu.
En els casos en què l'usuari tenia una sessió autenticada activa a Facebook, l'extensió accedia a l'API Graph per als desenvolupadors, la qual cosa li permetia recollir totes les dades associades al compte de Facebook de l'usuari. Encara més alarmant, un component del codi d'extensió va permetre a l'actor de l'amenaça segrestar el compte de Facebook de l'usuari registrant una aplicació canalla al compte de la víctima i fent que Facebook l'aprovi.
En registrar una aplicació al compte de l'usuari, l'actor d'amenaça va obtenir el mode d'administració complet al compte de Facebook de la víctima sense haver de recollir contrasenyes ni intentar evitar l'autenticació de dos factors de Facebook. Si l'extensió trobava un compte d'empresa de Facebook, recopilaria tota la informació relacionada amb aquest compte, incloses les promocions actives actualment, el saldo de crèdit, la moneda, el llindar de facturació mínim i si el compte tenia una facilitat de crèdit associada. Aleshores, l'extensió examinaria totes les dades recollides, les prepararia i les enviaria de nou al servidor Command-and-Control (C2, C&C) mitjançant trucades d'API basades en la rellevància i el tipus de dades.
Aquestes troballes subratllen la necessitat que els usuaris d'Internet siguin prudents a l'hora d'instal·lar extensions de navegador, especialment aquelles que prometen un accés ràpid als serveis populars. També haurien de revisar periòdicament la seva llista d'extensions instal·lades i eliminar-ne les que ja no siguin necessàries o que tinguin un comportament qüestionable.
Els actors d'amenaça poden intentar vendre la informació recollida
Segons els investigadors, és probable que l'actor d'amenaça darrere de l'extensió del navegador "Accés ràpid a ChatGPT" vengui la informació que va obtenir de la campanya al millor postor. Alternativament, els ciberdelinqüents poden intentar utilitzar els comptes de Facebook Business segrestats per crear un exèrcit de bots, que després podrien utilitzar per publicar anuncis maliciosos amb els comptes de les víctimes.
El programari maliciós està equipat amb mecanismes per eludir les mesures de seguretat de Facebook en gestionar les sol·licituds d'accés a les seves API. Per exemple, abans de concedir accés mitjançant la seva API Meta Graph, Facebook primer verifica que la sol·licitud prové d'un usuari autenticat i d'un origen de confiança. Per evitar aquesta precaució, l'actor de l'amenaça va incloure codi a l'extensió del navegador maliciós que assegurava que totes les sol·licituds al lloc web de Facebook des del navegador de la víctima tinguessin les seves capçaleres modificades, de manera que semblava que també provenien del navegador de la víctima.
Això li dóna a l'extensió la possibilitat de navegar lliurement per qualsevol pàgina de Facebook, incloses les trucades i accions de l'API, utilitzant el navegador infectat i sense deixar cap rastre. La facilitat amb què l'extensió podria eludir les mesures de seguretat de Facebook subratlla la necessitat que les plataformes en línia estiguin vigilants per detectar i prevenir aquesta activitat maliciosa. Des de llavors, Google ha eliminat l'extensió maliciosa del navegador "Accés ràpid a ChatGPT" de la botiga de Chrome.
