'ChatGPT에 빠르게 액세스' 브라우저 확장 프로그램

분석 결과 'ChatGPT에 대한 빠른 액세스'라는 가짜 Chrome 브라우저 확장 프로그램이 비즈니스 계정을 포함한 수천 개의 Facebook 계정을 해킹하는 데 사용된 것으로 나타났습니다. 이 확장 프로그램은 이전에 Google의 공식 Chrome 스토어에서 사용할 수 있었습니다. 이 확장 프로그램은 사용자에게 인기 있는 AI 챗봇 ChatGPT와 상호 작용할 수 있는 편리한 방법을 제공한다고 주장했습니다. 그러나 실제로는 피해자의 브라우저에서 광범위한 정보를 수집하고 모든 인증된 활성 세션의 쿠키를 훔치도록 설계되었습니다. 또한 이 확장 프로그램은 멀웨어 작성자에게 사용자의 Facebook 계정에 대한 최고 관리자 권한을 부여하는 백도어를 설치했습니다. 악성 확장에 대한 자세한 내용은 Guardio Labs의 연구원 보고서에서 공개되었습니다.

'ChatGPT에 대한 빠른 액세스' 브라우저 확장 프로그램의 사용은 위협 행위자가 ChatGPT에 대한 광범위한 관심을 악용하여 맬웨어를 배포하고 시스템에 침투하려고 시도한 한 가지 예일 뿐입니다. 가짜 확장 프로그램의 배후에 있는 위협 행위자는 사용자가 확장 프로그램을 설치하도록 속이는 정교한 전술을 사용했으며, 이는 사용자가 인터넷에서 브라우저 확장 프로그램 및 기타 소프트웨어를 다운로드할 때 경계해야 할 필요성을 강조합니다.

'ChatGPT에 대한 빠른 액세스' 브라우저 확장 프로그램은 민감한 Facebook 정보를 수집합니다.

악의적인 'ChatGPT에 대한 빠른 액세스' 브라우저 확장 프로그램은 약속한 대로 API에 연결하여 ChatGPT 챗봇에 대한 액세스를 제공했습니다. 그러나 이 확장 프로그램은 Google, Twitter, YouTube 및 기타 활성 서비스와 같은 다양한 서비스에 대한 보안 및 세션 토큰을 포함하여 사용자의 브라우저에 저장된 전체 쿠키 목록도 수집했습니다.

사용자가 Facebook에서 활성 인증 세션을 가지고 있는 경우 확장 프로그램은 개발자용 Graph API에 액세스하여 사용자의 Facebook 계정과 관련된 모든 데이터를 수집할 수 있습니다. 더욱 놀라운 것은 확장 코드의 구성 요소가 공격자가 피해자의 계정에 악성 앱을 등록하고 Facebook의 승인을 받아 사용자의 Facebook 계정을 하이재킹할 수 있게 했다는 것입니다.

사용자 계정에 앱을 등록함으로써 위협 행위자는 암호를 수집하거나 Facebook의 이중 인증을 우회하려고 시도하지 않고도 피해자의 Facebook 계정에 대한 전체 관리 모드를 얻었습니다. 확장 프로그램이 비즈니스 Facebook 계정을 발견하면 현재 활성화된 프로모션, 크레딧 잔액, 통화, 최소 청구 임계값, 계정에 연결된 신용 시설이 있는지 여부를 포함하여 해당 계정과 관련된 모든 정보를 수집합니다. 그런 다음 확장 프로그램은 수집된 모든 데이터를 검사하고 준비한 다음 관련성과 데이터 유형에 따라 API 호출을 사용하여 명령 및 제어(C2, C&C) 서버로 다시 보냅니다.

이러한 결과는 인터넷 사용자가 특히 인기 있는 서비스에 대한 빠른 액세스를 약속하는 브라우저 확장 프로그램을 설치할 때 주의해야 할 필요성을 강조합니다. 또한 설치된 확장 프로그램 목록을 정기적으로 검토하고 더 이상 필요하지 않거나 의심스러운 동작이 있는 확장 프로그램을 제거해야 합니다.

위협 행위자는 수집된 정보를 판매하려고 할 수 있습니다.

연구원들에 따르면 'ChatGPT에 대한 빠른 액세스' 브라우저 확장 프로그램의 배후에 있는 위협 행위자는 캠페인에서 수집한 정보를 최고 입찰자에게 판매할 가능성이 높습니다. 또는 사이버 범죄자는 하이재킹된 Facebook 비즈니스 계정을 사용하여 봇 군대를 만들려고 시도할 수 있습니다. 그런 다음 피해자의 계정을 사용하여 악의적인 광고를 게시하는 데 사용할 수 있습니다.

이 멀웨어는 API에 대한 액세스 요청을 처리할 때 Facebook의 보안 조치를 우회하는 메커니즘을 갖추고 있습니다. 예를 들어, Meta Graph API를 통해 액세스 권한을 부여하기 전에 Facebook은 먼저 요청이 인증된 사용자와 신뢰할 수 있는 출처에서 온 것인지 확인합니다. 이 예방 조치를 우회하기 위해 위협 행위자는 악성 브라우저 확장 프로그램에 코드를 포함하여 피해자의 브라우저에서 Facebook 웹사이트로 보내는 모든 요청의 헤더를 수정하여 피해자의 브라우저에서 온 것처럼 보이게 했습니다.

이를 통해 확장 프로그램은 API 호출 및 작업 수행, 감염된 브라우저 사용 및 흔적을 남기지 않고 모든 Facebook 페이지를 자유롭게 탐색할 수 있습니다. 확장 프로그램이 Facebook의 보안 조치를 쉽게 우회할 수 있다는 점은 온라인 플랫폼이 그러한 악의적인 활동을 탐지하고 방지하는 데 경계해야 할 필요성을 강조합니다. 이후 악성 'ChatGPT에 대한 빠른 액세스' 브라우저 확장 프로그램이 Chrome 스토어에서 Google에 의해 제거되었습니다.