'Hurtig adgang til ChatGPT' browserudvidelse

Analyse har afsløret, at en falsk Chrome-browserudvidelse kaldet 'Hurtig adgang til ChatGPT' er blevet brugt af en trusselaktør til at kompromittere tusindvis af Facebook-konti, inklusive virksomhedskonti. Udvidelsen var tidligere tilgængelig i Googles officielle Chrome Store. Denne udvidelse hævdede at tilbyde brugerne en bekvem måde at interagere med den populære AI chatbot ChatGPT. Men i virkeligheden var den designet til at indsamle en bred vifte af oplysninger fra ofrets browser og stjæle cookies fra alle autoriserede aktive sessioner. Udvidelsen installerede også en bagdør, der gav malware-forfatteren superadmin-tilladelser til brugerens Facebook-konto. Detaljer om den ondsindede udvidelse blev frigivet i en rapport fra forskerne ved Guardio Labs.

Brugen af browserudvidelsen 'Hurtig adgang til ChatGPT' er blot et eksempel på, hvordan trusselsaktører har forsøgt at udnytte den udbredte interesse for ChatGPT til at distribuere malware og infiltrere systemer. Trusselsaktøren bag den falske udvidelse brugte sofistikerede taktikker til at narre brugere til at installere udvidelsen, hvilket understreger behovet for, at brugere skal være på vagt, når de downloader browserudvidelser og anden software fra internettet.

Browserudvidelsen 'Hurtig adgang til ChatGPT' indsamler følsomme Facebook-oplysninger

Den ondsindede browserudvidelse 'Hurtig adgang til ChatGPT' gav adgang til ChatGPT-chatbotten ved at oprette forbindelse til dens API, som lovet. Udvidelsen høstede dog også en komplet liste over cookies gemt i brugerens browser, inklusive sikkerheds- og sessionstokens for forskellige tjenester som Google, Twitter og YouTube og alle andre aktive tjenester.

I tilfælde, hvor brugeren havde en aktiv autentificeret session på Facebook, fik udvidelsen adgang til Graph API for udviklere, hvilket gjorde det muligt for den at høste alle de data, der er knyttet til brugerens Facebook-konto. Endnu mere alarmerende, en komponent i udvidelseskoden gjorde det muligt for trusselsaktøren at kapre brugerens Facebook-konto ved at registrere en useriøs app på ofrets konto og få Facebook til at godkende den.

Ved at registrere en app på brugerens konto fik trusselsaktøren fuld admin-tilstand på ofrets Facebook-konto uden at skulle høste adgangskoder eller forsøge at omgå Facebooks to-faktor-godkendelse. Hvis udvidelsen stødte på en Business Facebook-konto, ville den indsamle alle oplysninger relateret til den konto, inklusive aktuelt aktive kampagner, kreditsaldo, valuta, minimumsfaktureringstærskel, og om kontoen havde en kreditfacilitet tilknyttet den. Udvidelsen vil derefter undersøge alle de indsamlede data, forberede dem og sende dem tilbage til Command-and-Control-serveren (C2, C&C) ved hjælp af API-kald baseret på relevans og datatype.

Disse resultater understreger behovet for internetbrugere til at være forsigtige, når de installerer browserudvidelser, især dem, der lover hurtig adgang til populære tjenester. De bør også regelmæssigt gennemgå deres liste over installerede udvidelser og fjerne dem, der ikke længere er nødvendige, eller som har tvivlsom adfærd.

Trusselaktører kan søge at sælge de indsamlede oplysninger

Ifølge forskerne vil trusselsaktøren bag browserudvidelsen 'Hurtig adgang til ChatGPT' sandsynligvis sælge den information, den har høstet fra kampagnen, til højestbydende. Alternativt kan cyberkriminelle forsøge at bruge de kaprede Facebook Business-konti til at oprette en bothær, som de derefter kunne bruge til at sende ondsindede annoncer ved hjælp af ofrenes konti.

Malwaren er udstyret med mekanismer til at omgå Facebooks sikkerhedsforanstaltninger, når de håndterer adgangsanmodninger til deres API'er. For eksempel, før den giver adgang via sin Meta Graph API, verificerer Facebook først, at anmodningen er fra en godkendt bruger og en betroet oprindelse. For at omgå denne forholdsregel inkluderede trusselsaktøren kode i den ondsindede browserudvidelse, der sikrede, at alle anmodninger til Facebook-webstedet fra offerets browser fik deres overskrifter ændret, så de så ud til også at stamme fra offerets browser.

Dette giver udvidelsen mulighed for frit at gennemse enhver Facebook-side, inklusive at foretage API-kald og -handlinger, ved at bruge den inficerede browser og uden at efterlade spor. Den lethed, hvormed udvidelsen kunne omgå Facebooks sikkerhedsforanstaltninger, understreger behovet for, at onlineplatforme er årvågne med at opdage og forhindre sådan ondsindet aktivitet. Den ondsindede browserudvidelse "Hurtig adgang til ChatGPT" er siden blevet fjernet af Google fra Chromes butik.