Brauseri laiendus „Kiire juurdepääs ChatGPT-le”.

Analüüs näitas, et võltsitud Chrome'i brauserilaiendust nimega "Kiire juurdepääs ChatGPT-le" on ohus osaleja kasutanud tuhandete Facebooki kontode, sealhulgas ettevõttekontode ohustamiseks. Laiendus oli varem saadaval Google'i ametlikus Chrome'i poes. Väidetavalt pakub see laiendus kasutajatele mugavat viisi populaarse AI-vestlusbotiga ChatGPT-ga suhtlemiseks. Kuid tegelikkuses oli see loodud ohvri brauserist suure hulga teabe kogumiseks ja kõigi volitatud aktiivsete seansside küpsiste varastamiseks. Laiendus paigaldas ka tagaukse, mis andis pahavara autorile superadministraatori õigused kasutaja Facebooki kontole. Üksikasjad pahatahtliku laienduse kohta avaldati Guardio Labsi teadlaste aruandes.

Brauserilaiendi „Kiire juurdepääs ChatGPT-le” kasutamine on vaid üks näide sellest, kuidas ohus osalejad on püüdnud ära kasutada laialdast huvi ChatGPT vastu, et levitada pahavara ja tungida süsteemidesse. Võltslaienduse taga seisev ohutegelane kasutas keerukaid taktikaid, et petta kasutajaid laienduse installimisel, mis rõhutab, et kasutajad peavad olema valvsad brauserilaiendite ja muu tarkvara Internetist allalaadimisel.

Brauserilaiendus „Kiire juurdepääs ChatGPT-le” kogub tundlikku Facebooki teavet

Pahatahtlik brauserilaiendus „Kiire juurdepääs ChatGPT-le” andis juurdepääsu ChatGPT vestlusbotile, ühendades selle API-ga, nagu lubatud. Kuid laiendus kogus ka täieliku loendi kasutaja brauserisse salvestatud küpsistest, sealhulgas erinevate teenuste, nagu Google, Twitter ja YouTube, ja kõigi muude aktiivsete teenuste turva- ja seansimärgid.

Juhtudel, kui kasutajal oli Facebookis aktiivne autentitud seanss, pääses laiendus juurde arendajatele mõeldud Graph API-le, mis võimaldas tal koguda kõik kasutaja Facebooki kontoga seotud andmed. Veelgi murettekitavam on see, et laienduskoodi komponent võimaldas ohutegijal kaaperdada kasutaja Facebooki konto, registreerides ohvri kontole petturirakenduse ja paludes Facebookil selle heaks kiita.

Registreerides kasutaja kontole rakenduse, sai ohunäitleja ohvri Facebooki kontol täieliku administraatorirežiimi, ilma et oleks pidanud korjama paroole või üritama Facebooki kahefaktorilisest autentimisest mööda minna. Kui laiendus puutub kokku ettevõtte Facebooki kontoga, kogub see kogu selle kontoga seotud teabe, sealhulgas praegu aktiivsed pakkumised, krediidisaldo, valuuta, minimaalse arveldusläve ja selle, kas kontol oli sellega seotud krediidivõimalus. Seejärel uuriks laiendus kõiki kogutud andmeid, valmistaks need ette ja saadaks asjakohasusel ja andmetüübil põhinevate API-kutsete abil tagasi käsu-ja juhtimise (C2, C&C) serverisse.

Need leiud rõhutavad vajadust, et Interneti-kasutajad oleksid brauserilaiendite installimisel ettevaatlikud, eriti need, mis lubavad kiiret juurdepääsu populaarsetele teenustele. Samuti peaksid nad regulaarselt üle vaatama oma installitud laienduste loendi ja eemaldama kõik, mida enam ei vajata või mille käitumine on küsitav.

Ohutegijad võivad püüda kogutud teavet müüa

Teadlaste sõnul müüb brauserilaienduse „Kiire juurdepääs ChatGPT-le” taga olev ohus osaleja tõenäoliselt kampaaniast kogutud teabe kõrgeima pakkumise tegijale. Teise võimalusena võivad küberkurjategijad üritada kaaperdatud Facebook Businessi kontosid kasutada robotiarmee loomiseks, mida nad saavad seejärel kasutada ohvrite kontode kaudu pahatahtlike reklaamide postitamiseks.

Pahavara on varustatud mehhanismidega, mis võimaldavad Facebooki turvameetmetest mööda minna, kui käsitletakse juurdepääsutaotlusi selle API-dele. Näiteks enne Meta Graph API kaudu juurdepääsu andmist kontrollib Facebook esmalt, et päring on autentitud kasutajalt ja usaldusväärse päritoluga. Sellest ettevaatusabinõust kõrvalehoidmiseks lisas ohustaja pahatahtlikku brauseri laiendusse koodi, mis tagas, et kõigi ohvri brauserist Facebooki veebisaidile suunatud päringute päised muudeti, nii et need näisid pärinevat ka ohvri brauserist.

See annab laiendusele võimaluse vabalt sirvida mis tahes Facebooki lehte, sealhulgas teha API-kõnesid ja toiminguid, kasutades nakatunud brauserit ja jälgi jätmata. Lihtsus, millega laiendus võib Facebooki turvameetmetest mööda hiilida, rõhutab, et veebiplatvormid peavad olema valvsad sellise pahatahtliku tegevuse tuvastamisel ja ennetamisel. Google on sellest ajast alates Chrome'i poest eemaldanud pahatahtliku brauserilaiendi „Kiire juurdepääs ChatGPT-le”.