Threat Database Malware „Greita prieiga prie ChatGPT“ naršyklės plėtinys

„Greita prieiga prie ChatGPT“ naršyklės plėtinys

Analizė atskleidė, kad suklastotą „Chrome“ naršyklės plėtinį, vadinamą „Greita prieiga prie ChatGPT“, naudojo grėsmės veikėjas, siekdamas pakenkti tūkstančiams „Facebook“ paskyrų, įskaitant verslo paskyras. Plėtinys anksčiau buvo pasiekiamas oficialioje „Google Chrome“ parduotuvėje. Teigiama, kad šis plėtinys siūlo vartotojams patogų būdą bendrauti su populiariu AI pokalbių robotu ChatGPT. Tačiau iš tikrųjų jis buvo sukurtas tam, kad iš aukos naršyklės rinktų įvairiausią informaciją ir pavogtų visų įgaliotų aktyvių seansų slapukus. Plėtinys taip pat įdiegė užpakalines duris, suteikusias kenkėjiškų programų autoriui superadministratoriaus teises į vartotojo Facebook paskyrą. Išsami informacija apie kenkėjišką plėtinį buvo paskelbta „Guardio Labs“ tyrėjų ataskaitoje.

Naršyklės plėtinio „Greita prieiga prie ChatGPT“ naudojimas yra tik vienas pavyzdys, kaip grėsmės veikėjai bandė išnaudoti platų susidomėjimą ChatGPT, kad platintų kenkėjiškas programas ir įsiskverbtų į sistemas. Grėsmių veikėjas už netikrą plėtinį naudojo sudėtingą taktiką, kad apgautų vartotojus, kad jie įdiegtų plėtinį, o tai pabrėžia, kad vartotojai turi būti budrūs atsisiunčiant naršyklės plėtinius ir kitą programinę įrangą iš interneto.

„Greita prieiga prie ChatGPT“ naršyklės plėtinys renka neskelbtiną „Facebook“ informaciją

Kenkėjiškas naršyklės plėtinys „Greita prieiga prie ChatGPT“ suteikė prieigą prie „ChatGPT“ pokalbių roboto prisijungus prie jo API, kaip buvo žadėta. Tačiau plėtinys taip pat surinko visą naudotojo naršyklėje saugomų slapukų sąrašą, įskaitant saugos ir seanso žetonus įvairioms paslaugoms, pvz., „Google“, „Twitter“ ir „YouTube“, ir bet kurioms kitoms aktyvioms paslaugoms.

Tais atvejais, kai vartotojas turėjo aktyvią autentifikuotą seansą „Facebook“, plėtinys pasiekė kūrėjams skirtą „Graph API“, kuri leido surinkti visus duomenis, susijusius su vartotojo „Facebook“ paskyra. Dar labiau nerimą kelia tai, kad plėtinio kodo komponentas leido grėsmės veikėjui užgrobti vartotojo „Facebook“ paskyrą, aukos paskyroje užregistravus nesąžiningą programėlę ir „Facebook“ ją patvirtinus.

Vartotojo paskyroje užregistravęs programėlę, grėsmių veikėjas įgijo pilną administratoriaus režimą aukos „Facebook“ paskyroje ir jam nereikėjo rinkti slaptažodžių ar bandyti apeiti „Facebook“ dviejų veiksnių autentifikavimą. Jei plėtinys aptiktų verslo „Facebook“ paskyrą, būtų surinkta visa su ta paskyra susijusi informacija, įskaitant šiuo metu aktyvias reklamas, kredito likutį, valiutą, minimalų atsiskaitymo slenkstį ir tai, ar paskyra buvo susieta su kreditu. Tada plėtinys išnagrinėtų visus surinktus duomenis, juos paruoštų ir išsiųstų atgal į komandų ir valdymo (C2, C&C) serverį naudodamas API skambučius, pagrįstus tinkamumu ir duomenų tipu.

Šios išvados pabrėžia, kad interneto vartotojai turi būti atsargūs diegdami naršyklės plėtinius, ypač tuos, kurie žada greitą prieigą prie populiarių paslaugų. Jie taip pat turėtų reguliariai peržiūrėti įdiegtų plėtinių sąrašą ir pašalinti visus, kurie nebereikalingi arba kurių elgesys yra abejotinas.

Grėsmės veikėjai gali siekti parduoti surinktą informaciją

Tyrėjų teigimu, grėsmės veikėjas, gavęs naršyklės plėtinį „Greita prieiga prie ChatGPT“, greičiausiai parduos informaciją, surinktą iš kampanijos didžiausią kainą pasiūliusiam pirkėjui. Arba kibernetiniai nusikaltėliai gali bandyti panaudoti užgrobtas „Facebook Business“ paskyras, kad sukurtų botų armiją, kurią jie galėtų panaudoti skelbdami kenkėjiškus skelbimus naudodami aukų paskyras.

Kenkėjiška programinė įranga aprūpinta mechanizmais, leidžiančiais apeiti „Facebook“ saugos priemones, kai tvarkomos prieigos prie API užklausos. Pavyzdžiui, prieš suteikdama prieigą per savo Meta Graph API, „Facebook“ pirmiausia patikrina, ar užklausa yra iš autentifikuoto vartotojo ir patikimos kilmės. Siekdamas apeiti šią atsargumo priemonę, grėsmės veikėjas įtraukė kodą į kenkėjišką naršyklės plėtinį, kuris užtikrino, kad visos aukos naršyklės „Facebook“ svetainei pateiktos užklausos būtų pakeistos, todėl atrodė, kad jos taip pat kilo iš aukos naršyklės.

Tai suteikia plėtiniui galimybę laisvai naršyti bet kurį „Facebook“ puslapį, įskaitant API skambučius ir veiksmus, naudojant užkrėstą naršyklę ir nepaliekant jokių pėdsakų. Tai, kad išplėtimas gali lengvai apeiti „Facebook“ saugumo priemones, pabrėžia, kad internetinės platformos turi būti budrios aptikdamos ir užkirsdamos kelią tokiai kenkėjiškai veiklai. Nuo to laiko „Google“ pašalino kenkėjišką naršyklės plėtinį „Greita prieiga prie ChatGPT“ iš „Chrome“ parduotuvės.

Tendencijos

Labiausiai žiūrima

Įkeliama...