Threat Database Malware „Gyors hozzáférés a ChatGPT-hez” böngészőbővítmény

„Gyors hozzáférés a ChatGPT-hez” böngészőbővítmény

Az elemzés feltárta, hogy a "Quick access to ChatGPT" nevű hamis Chrome-böngészőbővítményt egy fenyegetés szereplője használta Facebook-fiókok ezrei feltörésére, beleértve az üzleti fiókokat is. A bővítmény korábban elérhető volt a Google hivatalos Chrome Store-jában. Ez a bővítmény azt állította, hogy kényelmes módot kínál a felhasználóknak a népszerű AI chatbottal, a ChatGPT-vel való interakcióra. A valóságban azonban úgy tervezték, hogy sokféle információt gyűjtsön az áldozat böngészőjéből, és ellopja az összes engedélyezett aktív munkamenet cookie-jait. A bővítmény egy hátsó ajtót is telepített, amely szuper-adminisztrátori jogosultságot adott a kártevő szerzőjének a felhasználó Facebook-fiókjához. A rosszindulatú bővítmény részleteit a Guardio Labs kutatói közölték.

A „Gyors hozzáférés a ChatGPT-hez” böngészőbővítmény csak egy példa arra, hogy a fenyegetés szereplői hogyan próbálták kihasználni a ChatGPT iránti széles körű érdeklődést rosszindulatú programok terjesztésére és rendszerekbe való behatolásra. A hamis bővítmény mögött álló fenyegetettség szereplője kifinomult taktikával csalta meg a felhasználókat a bővítmény telepítésében, ami rávilágít arra, hogy a felhasználóknak óvatosnak kell lenniük, amikor böngészőbővítményeket és egyéb szoftvereket töltenek le az internetről.

A „Gyors hozzáférés a ChatGPT-hez” böngészőbővítmény bizalmas Facebook-információkat gyűjt

A rosszindulatú „Gyors hozzáférés a ChatGPT-hez” böngészőbővítmény hozzáférést biztosított a ChatGPT chatbothoz azáltal, hogy csatlakozott az API-jához, ahogy ígértük. A bővítmény azonban a felhasználó böngészőjében tárolt cookie-k teljes listáját is begyűjtötte, beleértve a biztonsági és munkamenet-tokeneket a különféle szolgáltatásokhoz, például a Google-hoz, a Twitterhez és a YouTube-hoz, valamint minden más aktív szolgáltatáshoz.

Azokban az esetekben, amikor a felhasználónak aktív, hitelesített munkamenete volt a Facebookon, a bővítmény hozzáfért a Graph API-hoz a fejlesztők számára, amely lehetővé tette a felhasználó Facebook-fiókjához kapcsolódó összes adat begyűjtését. Még ennél is riasztóbb, hogy a kiterjesztési kód egyik összetevője lehetővé tette a fenyegetés szereplőjének, hogy eltérítse a felhasználó Facebook-fiókját azáltal, hogy regisztrált egy csaló alkalmazást az áldozat fiókjába, és jóváhagyta a Facebookot.

Azáltal, hogy regisztrált egy alkalmazást a felhasználó fiókjában, a fenyegetőző teljes adminisztrátori módot kapott az áldozat Facebook-fiókjában anélkül, hogy jelszavakat kellett volna begyűjtenie, vagy meg kellett volna próbálnia megkerülnie a Facebook kétfaktoros hitelesítését. Ha a bővítmény üzleti Facebook-fiókkal találkozott, akkor a fiókhoz kapcsolódó összes információt begyűjti, beleértve a jelenleg aktív promóciókat, a hitelegyenleget, a pénznemet, a minimális számlázási küszöböt, és azt, hogy a fiókhoz van-e társított hitelkeret. A kiterjesztés ezután megvizsgálja az összes gyűjtött adatot, előkészíti, majd visszaküldi a Command-and-Control (C2, C&C) szervernek API-hívások segítségével a relevancia és az adattípus alapján.

Ezek az eredmények alátámasztják, hogy az internethasználóknak óvatosnak kell lenniük a böngészőbővítmények telepítésekor, különösen azok esetében, amelyek gyors hozzáférést ígérnek a népszerű szolgáltatásokhoz. Ezenkívül rendszeresen felül kell vizsgálniuk a telepített bővítmények listáját, és el kell távolítaniuk azokat, amelyekre már nincs szükség, vagy amelyek megkérdőjelezhető viselkedésűek.

A fenyegető szereplők megpróbálhatják eladni az összegyűjtött információkat

A kutatók szerint a „Gyors hozzáférés a ChatGPT-hez” böngészőbővítmény mögött meghúzódó fenyegetettség valószínűleg eladja a kampányból gyűjtött információkat a legmagasabb ajánlatot tevőnek. Alternatív megoldásként a kiberbűnözők megpróbálhatják felhasználni a feltört Facebook Business-fiókokat egy bot hadsereg létrehozására, amelyet aztán az áldozatok fiókjait használó rosszindulatú hirdetések közzétételére használhatnak fel.

A rosszindulatú program olyan mechanizmusokkal van felszerelve, amelyek megkerülik a Facebook biztonsági intézkedéseit az API-khoz való hozzáférési kérelmek kezelésekor. Például, mielőtt hozzáférést adna a Meta Graph API-n keresztül, a Facebook először ellenőrzi, hogy a kérés hitelesített felhasználótól és megbízható eredettől származik-e. Ennek az óvintézkedésnek a megkerülésére a fenyegetőző olyan kódot illesztett a rosszindulatú böngészőbővítménybe, amely biztosította, hogy az áldozat böngészőjéből a Facebook-webhelyre küldött összes kérés fejléce módosuljon, így úgy tűnt, hogy azok is az áldozat böngészőjéből származnak.

Ez lehetővé teszi a bővítménynek, hogy szabadon böngésszen bármely Facebook-oldalon, beleértve az API-hívásokat és -műveleteket, a fertőzött böngésző használatával, anélkül, hogy nyomot hagyna. Az, hogy a kiterjesztés könnyedén megkerülheti a Facebook biztonsági intézkedéseit, rámutat arra, hogy az online platformoknak ébernek kell lenniük az ilyen rosszindulatú tevékenységek észlelésében és megelőzésében. A rosszindulatú „Gyors hozzáférés a ChatGPT-hez” böngészőbővítményt a Google azóta eltávolította a Chrome áruházából.

Felkapott

Legnézettebb

Betöltés...