"Nopea pääsy ChatGPT:hen" -selainlaajennus

Analyysi on paljastanut, että uhkatoimija on käyttänyt väärennettyä Chrome-selainlaajennusta nimeltä "Quick access to ChatGPT" vaarantaakseen tuhansia Facebook-tilejä, mukaan lukien yritystilit. Laajennus oli aiemmin saatavilla Googlen virallisesta Chrome Storesta. Tämä laajennus väitti tarjoavansa käyttäjille kätevän tavan olla vuorovaikutuksessa suositun AI-chatbotin ChatGPT:n kanssa. Todellisuudessa se oli kuitenkin suunniteltu keräämään monenlaista tietoa uhrin selaimesta ja varastamaan evästeitä kaikista valtuutetuista aktiivisista istunnoista. Laajennus asensi myös takaoven, joka antoi haittaohjelman tekijälle super-järjestelmänvalvojan oikeudet käyttäjän Facebook-tiliin. Yksityiskohdat haitallisesta laajennuksesta julkaistiin Guardio Labsin tutkijoiden raportissa.

"Quick access to ChatGPT" -selainlaajennuksen käyttö on vain yksi esimerkki siitä, kuinka uhkien toimijat ovat yrittäneet hyödyntää ChatGPT:tä kohtaan tunnettua laajaa kiinnostusta haittaohjelmien levittämiseen ja tunkeutumiseen järjestelmiin. Väärennetyn laajennuksen takana oleva uhkatekijä käytti kehittyneitä taktiikoita huijatakseen käyttäjiä asentamaan laajennuksen, mikä korostaa käyttäjien tarvetta olla valppaana lataaessaan selainlaajennuksia ja muita ohjelmistoja Internetistä.

"Nopea pääsy ChatGPT:hen" -selainlaajennus kerää arkaluontoisia Facebook-tietoja

Haitallinen "Quick access to ChatGPT" -selainlaajennus tarjosi pääsyn ChatGPT-chatbotiin yhdistämällä sen API:iin, kuten luvattiin. Laajennus keräsi kuitenkin myös täydellisen luettelon käyttäjän selaimeen tallennetuista evästeistä, mukaan lukien tietoturva- ja istuntotunnukset eri palveluille, kuten Googlelle, Twitterille ja YouTubelle, sekä kaikille muille aktiivisille palveluille.

Tapauksissa, joissa käyttäjällä oli aktiivinen todennettu istunto Facebookissa, laajennus käytti kehittäjille tarkoitettua Graph API:ta, jonka avulla se pystyi keräämään kaikki käyttäjän Facebook-tiliin liittyvät tiedot. Vielä hälyttävämpää on, että laajennuskoodin komponentti mahdollisti uhkatekijän kaapata käyttäjän Facebook-tilin rekisteröimällä petollisen sovelluksen uhrin tilille ja saamalla Facebookin hyväksymään sen.

Rekisteröimällä sovelluksen käyttäjän tilille uhkatekijä sai täyden järjestelmänvalvojan tilan uhrin Facebook-tilille ilman, että hänen tarvitsisi kerätä salasanoja tai yrittää ohittaa Facebookin kaksivaiheista todennusta. Jos laajennus kohtasi Business Facebook -tilin, se kerää kaikki tiliin liittyvät tiedot, mukaan lukien tällä hetkellä aktiiviset tarjoukset, luottosaldon, valuutan, vähimmäislaskutuskynnyksen ja sen, onko tiliin liitetty luottolimiitti. Laajennus tutkii sitten kaikki kerätyt tiedot, valmistelee sen ja lähettää sen takaisin Command-and-Control (C2, C&C) -palvelimelle käyttämällä API-kutsuja osuvuuden ja tietotyypin perusteella.

Nämä havainnot korostavat tarvetta Internetin käyttäjien olla varovaisia asentaessaan selainlaajennuksia, erityisesti sellaisia, jotka lupaavat nopean pääsyn suosittuihin palveluihin. Heidän tulee myös säännöllisesti tarkistaa asennettujen laajennusten luettelonsa ja poistaa kaikki tarpeettomat tai kyseenalainen toiminta.

Uhkatoimijat voivat yrittää myydä kerättyjä tietoja

Tutkijoiden mukaan "Quick access to ChatGPT" -selainlaajennuksen takana oleva uhkatekijä myy todennäköisesti kampanjasta keräämänsä tiedot eniten tarjoavalle. Vaihtoehtoisesti kyberrikolliset voivat yrittää käyttää kaapattuja Facebook Business -tilejä luodakseen bot-armeijan, jonka avulla he voivat lähettää haitallisia mainoksia uhrien tileillä.

Haittaohjelma on varustettu mekanismilla Facebookin turvatoimien ohittamiseksi käsiteltäessä pääsypyyntöjä sen API-liittymiin. Ennen kuin Facebook esimerkiksi myöntää käyttöoikeuden Meta Graph API:n kautta, se varmistaa ensin, että pyyntö on todennettu käyttäjä ja luotettu alkuperä. Tämän varotoimenpiteen kiertämiseksi uhkatekijä sisällytti haitalliseen selainlaajennukseen koodin, joka varmisti, että kaikkien uhrin selaimen Facebook-sivustolle lähetettyjen pyyntöjen otsikot muutettiin, joten ne näyttivät myös olevan peräisin uhrin selaimesta.

Tämä antaa laajennukselle mahdollisuuden selata vapaasti mitä tahansa Facebook-sivua, mukaan lukien API-kutsut ja -toiminnot, tartunnan saaneen selaimen avulla ja jättämättä jälkiä. Laajennuksen helppous kiertää Facebookin turvatoimia korostaa, että verkkoalustojen on oltava valppaita tällaisten haitallisten toimintojen havaitsemisessa ja estämisessä. Google on sittemmin poistanut haitallisen "Quick access to ChatGPT" -selainlaajennuksen Chromen kaupasta.