Επέκταση προγράμματος περιήγησης «Γρήγορη πρόσβαση στο ChatGPT».
Η ανάλυση αποκάλυψε ότι μια ψεύτικη επέκταση του προγράμματος περιήγησης Chrome που ονομάζεται «Γρήγορη πρόσβαση στο ChatGPT» έχει χρησιμοποιηθεί από έναν παράγοντα απειλών για να παραβιάσει χιλιάδες λογαριασμούς Facebook, συμπεριλαμβανομένων επαγγελματικών λογαριασμών. Η επέκταση ήταν παλαιότερα διαθέσιμη στο επίσημο Chrome Store της Google. Αυτή η επέκταση ισχυρίστηκε ότι προσφέρει στους χρήστες έναν βολικό τρόπο αλληλεπίδρασης με το δημοφιλές chatbot AI ChatGPT. Ωστόσο, στην πραγματικότητα, σχεδιάστηκε για να συλλέγει ένα ευρύ φάσμα πληροφοριών από το πρόγραμμα περιήγησης του θύματος και να κλέβει cookies όλων των εξουσιοδοτημένων ενεργών περιόδων σύνδεσης. Η επέκταση εγκατέστησε επίσης μια κερκόπορτα που έδινε στον συγγραφέα κακόβουλου λογισμικού δικαιώματα υπερ-διαχειριστή στον λογαριασμό του χρήστη στο Facebook. Λεπτομέρειες σχετικά με την κακόβουλη επέκταση κυκλοφόρησαν σε έκθεση των ερευνητών στα εργαστήρια Guardio.
Η χρήση της επέκτασης προγράμματος περιήγησης «Γρήγορη πρόσβαση στο ChatGPT» είναι μόνο ένα παράδειγμα του τρόπου με τον οποίο οι φορείς απειλών προσπαθούν να εκμεταλλευτούν το εκτεταμένο ενδιαφέρον για το ChatGPT για να διανείμουν κακόβουλο λογισμικό και να διεισδύσουν σε συστήματα. Ο παράγοντας απειλής πίσω από την ψεύτικη επέκταση χρησιμοποίησε περίπλοκες τακτικές για να εξαπατήσει τους χρήστες να εγκαταστήσουν την επέκταση, γεγονός που υπογραμμίζει την ανάγκη οι χρήστες να είναι προσεκτικοί κατά τη λήψη επεκτάσεων προγράμματος περιήγησης και άλλου λογισμικού από το Διαδίκτυο.
Η επέκταση προγράμματος περιήγησης «Γρήγορη πρόσβαση στο ChatGPT» συλλέγει ευαίσθητες πληροφορίες Facebook
Η κακόβουλη επέκταση προγράμματος περιήγησης «Γρήγορη πρόσβαση στο ChatGPT» παρείχε πρόσβαση στο chatbot ChatGPT συνδέοντας στο API του, όπως είχε υποσχεθεί. Ωστόσο, η επέκταση συγκέντρωσε επίσης μια πλήρη λίστα με cookies που είναι αποθηκευμένα στο πρόγραμμα περιήγησης του χρήστη, συμπεριλαμβανομένων των διακριτικών ασφαλείας και συνεδριών για διάφορες υπηρεσίες όπως το Google, το Twitter και το YouTube, και οποιεσδήποτε άλλες ενεργές υπηρεσίες.
Σε περιπτώσεις όπου ο χρήστης είχε μια ενεργή επαληθευμένη περίοδο σύνδεσης στο Facebook, η επέκταση είχε πρόσβαση στο Graph API για προγραμματιστές, το οποίο του επέτρεψε να συλλέξει όλα τα δεδομένα που σχετίζονται με τον λογαριασμό του χρήστη στο Facebook. Ακόμη πιο ανησυχητικό, ένα στοιχείο στον κώδικα επέκτασης επέτρεψε στον παράγοντα απειλής να παραβιάσει τον λογαριασμό του χρήστη στο Facebook καταχωρώντας μια απατεώνων εφαρμογή στον λογαριασμό του θύματος και ζητώντας από το Facebook να την εγκρίνει.
Με την εγγραφή μιας εφαρμογής στον λογαριασμό του χρήστη, ο παράγοντας απειλών απέκτησε πλήρη λειτουργία διαχειριστή στον λογαριασμό Facebook του θύματος χωρίς να χρειάζεται να συλλέξει κωδικούς πρόσβασης ή να προσπαθήσει να παρακάμψει τον έλεγχο ταυτότητας δύο παραγόντων του Facebook. Εάν η επέκταση αντιμετώπιζε έναν Business Facebook λογαριασμό, θα συλλέγει όλες τις πληροφορίες που σχετίζονται με αυτόν τον λογαριασμό, συμπεριλαμβανομένων των ενεργών προωθήσεων, του πιστωτικού υπολοίπου, του νομίσματος, του ελάχιστου ορίου χρέωσης και του εάν ο λογαριασμός είχε πιστωτική διευκόλυνση που σχετίζεται με αυτό. Στη συνέχεια, η επέκταση θα εξετάσει όλα τα συγκεντρωμένα δεδομένα, θα τα προετοιμάσει και θα τα στείλει πίσω στον διακομιστή Command-and-Control (C2, C&C) χρησιμοποιώντας κλήσεις API με βάση τη συνάφεια και τον τύπο δεδομένων.
Αυτά τα ευρήματα υπογραμμίζουν την ανάγκη οι χρήστες του Διαδικτύου να είναι προσεκτικοί κατά την εγκατάσταση επεκτάσεων προγράμματος περιήγησης, ειδικά εκείνων που υπόσχονται γρήγορη πρόσβαση σε δημοφιλείς υπηρεσίες. Θα πρέπει επίσης να αναθεωρούν τακτικά τη λίστα με τις εγκατεστημένες επεκτάσεις και να αφαιρούν όσες δεν χρειάζονται πλέον ή που έχουν αμφισβητούμενη συμπεριφορά.
Οι ηθοποιοί απειλών ενδέχεται να επιδιώξουν να πουλήσουν τις συλλεγμένες πληροφορίες
Σύμφωνα με τους ερευνητές, ο παράγοντας απειλής πίσω από την επέκταση προγράμματος περιήγησης «Γρήγορη πρόσβαση στο ChatGPT» είναι πιθανό να πουλήσει τις πληροφορίες που συγκέντρωσε από την καμπάνια στον πλειοδότη. Εναλλακτικά, οι εγκληματίες του κυβερνοχώρου μπορεί να επιχειρήσουν να χρησιμοποιήσουν τους λογαριασμούς Facebook Business που έχουν παραβιαστεί για να δημιουργήσουν έναν στρατό bot, τον οποίο στη συνέχεια θα μπορούσαν να χρησιμοποιήσουν για να δημοσιεύσουν κακόβουλες διαφημίσεις χρησιμοποιώντας τους λογαριασμούς των θυμάτων.
Το κακόβουλο λογισμικό είναι εξοπλισμένο με μηχανισμούς παράκαμψης των μέτρων ασφαλείας του Facebook κατά τον χειρισμό αιτημάτων πρόσβασης στα API του. Για παράδειγμα, πριν παραχωρήσει πρόσβαση μέσω του Meta Graph API, το Facebook επαληθεύει πρώτα ότι το αίτημα προέρχεται από έναν πιστοποιημένο χρήστη και μια αξιόπιστη προέλευση. Για να παρακάμψει αυτό το μέτρο προφύλαξης, ο παράγοντας απειλής συμπεριέλαβε κώδικα στην επέκταση του κακόβουλου προγράμματος περιήγησης που διασφάλιζε ότι όλα τα αιτήματα προς τον ιστότοπο Facebook από το πρόγραμμα περιήγησης του θύματος είχαν τροποποιηθεί οι κεφαλίδες τους, επομένως φαινόταν ότι προέρχονται επίσης από το πρόγραμμα περιήγησης του θύματος.
Αυτό δίνει στην επέκταση τη δυνατότητα να περιηγείται ελεύθερα σε οποιαδήποτε σελίδα του Facebook, συμπεριλαμβανομένης της πραγματοποίησης κλήσεων και ενεργειών API, χρησιμοποιώντας το μολυσμένο πρόγραμμα περιήγησης και χωρίς να αφήνει κανένα ίχνος. Η ευκολία με την οποία η επέκταση θα μπορούσε να παρακάμψει τα μέτρα ασφαλείας του Facebook υπογραμμίζει την ανάγκη οι διαδικτυακές πλατφόρμες να επαγρυπνούν στον εντοπισμό και την πρόληψη τέτοιων κακόβουλων δραστηριοτήτων. Η κακόβουλη επέκταση προγράμματος περιήγησης «Γρήγορη πρόσβαση στο ChatGPT» έχει αφαιρεθεί από την Google από το κατάστημα του Chrome.
