Rozšíření prohlížeče „Rychlý přístup k ChatGPT“.

Analýza odhalila, že falešné rozšíření prohlížeče Chrome s názvem „Rychlý přístup k ChatGPT“ bylo použito hrozbou k ohrožení tisíců účtů na Facebooku, včetně obchodních účtů. Rozšíření bylo dříve dostupné na oficiálním Google Chrome Store. Toto rozšíření tvrdilo, že nabízí uživatelům pohodlný způsob interakce s populárním chatbotem AI ChatGPT. Ve skutečnosti však byl navržen tak, aby shromažďoval širokou škálu informací z prohlížeče oběti a ukradl soubory cookie všech povolených aktivních relací. Rozšíření také nainstalovalo zadní vrátka, která udělila autorovi malwaru superadmin oprávnění k účtu uživatele na Facebooku. Podrobnosti o škodlivém rozšíření byly zveřejněny ve zprávě výzkumníků z Guardio Labs.

Použití rozšíření prohlížeče „Rychlý přístup k ChatGPT“ je jen jedním příkladem toho, jak se aktéři hrozeb pokoušeli využít rozšířeného zájmu o ChatGPT k distribuci malwaru a infiltraci systémů. Hrozba, která stojí za falešným rozšířením, použila sofistikované taktiky, aby oklamala uživatele, aby si rozšíření nainstalovali, což zdůrazňuje, že uživatelé musí být ostražití při stahování rozšíření prohlížeče a dalšího softwaru z internetu.

Rozšíření prohlížeče „Rychlý přístup k ChatGPT“ shromažďuje citlivé informace o Facebooku

Škodlivé rozšíření prohlížeče „Rychlý přístup k ChatGPT“ poskytlo přístup k chatbotu ChatGPT připojením k jeho API, jak bylo slíbeno. Rozšíření však také sklidilo úplný seznam souborů cookie uložených v prohlížeči uživatele, včetně tokenů zabezpečení a relace pro různé služby, jako je Google, Twitter a YouTube, a jakékoli další aktivní služby.

V případech, kdy měl uživatel aktivní ověřenou relaci na Facebooku, rozšíření přistupovalo k rozhraní Graph API pro vývojáře, což mu umožnilo sklízet všechna data spojená s facebookovým účtem uživatele. Ještě více alarmující je, že komponenta v kódu rozšíření umožnila aktérovi hrozby unést facebookový účet uživatele tím, že zaregistroval nepoctivou aplikaci na účet oběti a přiměl Facebook, aby to schválil.

Registrací aplikace na uživatelském účtu získal aktér hrozby plný režim správce na facebookovém účtu oběti, aniž by musel sbírat hesla nebo se pokoušet obejít dvoufaktorové ověřování Facebooku. Pokud by rozšíření narazilo na Business Facebook účet, shromáždilo by všechny informace související s tímto účtem, včetně aktuálně aktivních propagací, kreditního zůstatku, měny, minimálního fakturačního limitu a toho, zda k účtu byl přidružen úvěrový nástroj. Rozšíření by pak prozkoumalo všechna sklizená data, připravilo je a odeslalo je zpět na server Command-and-Control (C2, C&C) pomocí volání API na základě relevance a typu dat.

Tato zjištění podtrhují potřebu opatrnosti uživatelů internetu při instalaci rozšíření prohlížeče, zejména těch, které slibují rychlý přístup k oblíbeným službám. Měli by také pravidelně kontrolovat svůj seznam nainstalovaných rozšíření a odstranit ta, která již nejsou potřeba nebo která mají sporné chování.

Aktéři hrozeb se mohou snažit prodat shromážděné informace

Podle výzkumníků je pravděpodobné, že hrozba stojící za rozšířením prohlížeče „Rychlý přístup k ChatGPT“ prodá informace získané z kampaně tomu, kdo nabídne nejvyšší nabídku. Alternativně se kyberzločinci mohou pokusit využít unesené účty Facebook Business k vytvoření armády botů, kterou by pak mohli použít k zveřejňování škodlivých reklam pomocí účtů obětí.

Malware je vybaven mechanismy pro obcházení bezpečnostních opatření Facebooku při zpracování požadavků na přístup k jeho API. Například před udělením přístupu prostřednictvím svého Meta Graph API Facebook nejprve ověří, že požadavek pochází od ověřeného uživatele a důvěryhodného původu. Aby toto opatření obešel, aktér hrozby zahrnul kód do škodlivého rozšíření prohlížeče, které zajistilo, že všechny požadavky na webovou stránku Facebook z prohlížeče oběti budou mít upravenou hlavičku, takže se zdá, že také pocházejí z prohlížeče oběti.

Rozšíření tak může volně procházet jakoukoli stránku na Facebooku, včetně volání a akcí API, pomocí infikovaného prohlížeče a bez zanechání jakékoli stopy. Snadnost, s jakou by rozšíření mohlo obejít bezpečnostní opatření Facebooku, podtrhuje nutnost ostražitosti online platforem při odhalování a předcházení takovéto škodlivé činnosti. Škodlivé rozšíření prohlížeče „Rychlý přístup k ChatGPT“ bylo od té doby společností Google odstraněno z obchodu Chrome.