Threat Database Malware Estensione del browser "Accesso rapido a ChatGPT".

Estensione del browser "Accesso rapido a ChatGPT".

L'analisi ha rivelato che una falsa estensione del browser Chrome chiamata "Accesso rapido a ChatGPT" è stata utilizzata da un attore di minacce per compromettere migliaia di account Facebook, inclusi account aziendali. L'estensione era precedentemente disponibile sul Chrome Store ufficiale di Google. Questa estensione affermava di offrire agli utenti un modo conveniente per interagire con il popolare chatbot AI ChatGPT. Tuttavia, in realtà, è stato progettato per raccogliere una vasta gamma di informazioni dal browser della vittima e rubare i cookie di tutte le sessioni attive autorizzate. L'estensione ha anche installato una backdoor che ha concesso all'autore del malware autorizzazioni di super amministratore per l'account Facebook dell'utente. I dettagli sull'estensione dannosa sono stati rilasciati in un rapporto dei ricercatori di Guardio Labs.

L'uso dell'estensione del browser "Accesso rapido a ChatGPT" è solo un esempio di come gli attori delle minacce abbiano cercato di sfruttare l'interesse diffuso per ChatGPT per distribuire malware e infiltrarsi nei sistemi. L'autore della minaccia dietro la falsa estensione ha utilizzato tattiche sofisticate per indurre gli utenti a installare l'estensione, il che evidenzia la necessità per gli utenti di essere vigili durante il download di estensioni del browser e altri software da Internet.

L'estensione del browser "Accesso rapido a ChatGPT" raccoglie informazioni sensibili su Facebook

L'estensione del browser dannosa "Accesso rapido a ChatGPT" ha fornito l'accesso al chatbot ChatGPT collegandosi alla sua API, come promesso. Tuttavia, l'estensione ha anche raccolto un elenco completo di cookie memorizzati nel browser dell'utente, inclusi i token di sicurezza e di sessione per vari servizi come Google, Twitter e YouTube e qualsiasi altro servizio attivo.

Nei casi in cui l'utente aveva una sessione autenticata attiva su Facebook, l'estensione accedeva all'API Graph per gli sviluppatori, che le consentiva di raccogliere tutti i dati associati all'account Facebook dell'utente. Ancora più allarmante, un componente nel codice dell'estensione ha consentito all'autore della minaccia di dirottare l'account Facebook dell'utente registrando un'app canaglia sull'account della vittima e facendola approvare da Facebook.

Registrando un'app sull'account dell'utente, l'autore della minaccia ha ottenuto la modalità di amministrazione completa sull'account Facebook della vittima senza dover raccogliere password o tentare di aggirare l'autenticazione a due fattori di Facebook. Se l'estensione incontra un account Facebook aziendale, raccoglie tutte le informazioni relative a tale account, comprese le promozioni attualmente attive, il saldo del credito, la valuta, la soglia minima di fatturazione e se l'account dispone di una linea di credito associata. L'estensione esaminerebbe quindi tutti i dati raccolti, li preparerebbe e li rispedirebbe al server Command-and-Control (C2, C&C) utilizzando chiamate API basate sulla pertinenza e sul tipo di dati.

Questi risultati sottolineano la necessità per gli utenti di Internet di essere cauti durante l'installazione delle estensioni del browser, in particolare quelle che promettono un rapido accesso ai servizi popolari. Dovrebbero anche rivedere regolarmente il loro elenco di estensioni installate e rimuovere quelle che non sono più necessarie o che hanno un comportamento discutibile.

Gli attori della minaccia possono cercare di vendere le informazioni raccolte

Secondo i ricercatori, è probabile che l'autore della minaccia dietro l'estensione del browser "Accesso rapido a ChatGPT" venda le informazioni raccolte dalla campagna al miglior offerente. In alternativa, i criminali informatici possono tentare di utilizzare gli account aziendali di Facebook dirottati per creare un esercito di bot, che potrebbero quindi utilizzare per pubblicare annunci dannosi utilizzando gli account delle vittime.

Il malware è dotato di meccanismi per aggirare le misure di sicurezza di Facebook durante la gestione delle richieste di accesso alle sue API. Ad esempio, prima di concedere l'accesso tramite la sua API Meta Graph, Facebook verifica innanzitutto che la richiesta provenga da un utente autenticato e da un'origine attendibile. Per aggirare questa precauzione, l'autore della minaccia ha incluso il codice nell'estensione del browser dannoso che assicurava che tutte le richieste al sito Web di Facebook dal browser della vittima avessero le loro intestazioni modificate, quindi sembravano provenire anche dal browser della vittima.

Ciò offre all'estensione la possibilità di navigare liberamente su qualsiasi pagina Facebook, incluse chiamate e azioni API, utilizzando il browser infetto e senza lasciare alcuna traccia. La facilità con cui l'estensione potrebbe eludere le misure di sicurezza di Facebook sottolinea la necessità per le piattaforme online di essere vigili nel rilevare e prevenire tali attività dannose. L'estensione del browser dannosa "Accesso rapido a ChatGPT" è stata da allora rimossa da Google dallo store di Chrome.

Tendenza

I più visti

Caricamento in corso...