Pārlūka paplašinājums “Ātra piekļuve ChatGPT”.

Analīze atklāja, ka viltotu Chrome pārlūkprogrammas paplašinājumu ar nosaukumu “Ātrā piekļuve ChatGPT” ir izmantojis draudu izpildītājs, lai apdraudētu tūkstošiem Facebook kontu, tostarp uzņēmumu kontus. Paplašinājums iepriekš bija pieejams Google oficiālajā Chrome veikalā. Šis paplašinājums piedāvā lietotājiem ērtu veidu, kā mijiedarboties ar populāro AI tērzēšanas robotu ChatGPT. Tomēr patiesībā tas tika izstrādāts, lai savāktu plašu informāciju no upura pārlūkprogrammas un nozagtu visu atļauto aktīvo sesiju sīkfailus. Paplašinājums instalēja arī aizmugures durvis, kas ļaunprātīgās programmatūras autoram piešķīra superadministratora atļaujas lietotāja Facebook kontam. Sīkāka informācija par ļaunprātīgo paplašinājumu tika publicēta Guardio Labs pētnieku ziņojumā.

Pārlūkprogrammas paplašinājuma “Ātrā piekļuve ChatGPT” izmantošana ir tikai viens piemērs tam, kā apdraudējuma dalībnieki ir mēģinājuši izmantot plašo interesi par ChatGPT, lai izplatītu ļaunprātīgu programmatūru un iefiltrētos sistēmās. Viltus paplašinājuma draudu izpildītājs izmantoja izsmalcinātu taktiku, lai maldinātu lietotājus, lai tie instalētu paplašinājumu, un tas uzsver, ka lietotājiem ir jābūt modriem, lejupielādējot pārlūkprogrammas paplašinājumus un citu programmatūru no interneta.

Pārlūka paplašinājums “Ātrā piekļuve ChatGPT” apkopo sensitīvu Facebook informāciju

Ļaunprātīgais pārlūkprogrammas paplašinājums “Ātrā piekļuve ChatGPT” nodrošināja piekļuvi ChatGPT tērzēšanas robotam, izveidojot savienojumu ar tā API, kā solīts. Tomēr paplašinājums arī apkopoja pilnu lietotāja pārlūkprogrammā saglabāto sīkfailu sarakstu, tostarp drošības un sesijas marķierus dažādiem pakalpojumiem, piemēram, Google, Twitter un YouTube, kā arī citiem aktīviem pakalpojumiem.

Gadījumos, kad lietotājam Facebook bija aktīva autentificēta sesija, paplašinājums piekļuva izstrādātājiem paredzētajai Graph API, kas ļāva tam novākt visus ar lietotāja Facebook kontu saistītos datus. Vēl satraucošāk ir tas, ka paplašinājuma koda komponents ļāva draudu izpildītājam nolaupīt lietotāja Facebook kontu, upura kontā reģistrējot negodīgu lietotni un panākot, ka Facebook to apstiprina.

Reģistrējot lietotni lietotāja kontā, draudu aktieris ieguva pilnu administratora režīmu upura Facebook kontā, bez nepieciešamības iegūt paroles vai mēģināt apiet Facebook divu faktoru autentifikāciju. Ja paplašinājums sastapsies ar Business Facebook kontu, tas ievāktu visu ar šo kontu saistīto informāciju, tostarp pašlaik aktīvās reklāmas, kredīta atlikumu, valūtu, minimālo norēķinu slieksni un to, vai kontam bija ar to saistīta kredītlīnija. Pēc tam paplašinājums pārbaudītu visus savāktos datus, sagatavotu tos un nosūtītu atpakaļ uz Command-and-Control (C2, C&C) serveri, izmantojot API zvanus, pamatojoties uz atbilstību un datu tipu.

Šie atklājumi uzsver nepieciešamību interneta lietotājiem būt piesardzīgiem, instalējot pārlūkprogrammas paplašinājumus, īpaši tos, kas sola ātru piekļuvi populāriem pakalpojumiem. Viņiem arī regulāri jāpārskata instalēto paplašinājumu saraksts un jānoņem visi, kas vairs nav nepieciešami vai kuru darbība ir apšaubāma.

Draudu dalībnieki var mēģināt pārdot savākto informāciju

Pēc pētnieku domām, pārlūkprogrammas paplašinājuma “Ātrā piekļuve ChatGPT” draudu izpildītājs, visticamāk, pārdos informāciju, kas iegūta no kampaņas, augstākajam solītājam. Alternatīvi, kibernoziedznieki var mēģināt izmantot nolaupītos Facebook Business kontus, lai izveidotu robotu armiju, ko viņi pēc tam varētu izmantot, lai publicētu ļaunprātīgas reklāmas, izmantojot upuru kontus.

Ļaunprātīgā programmatūra ir aprīkota ar mehānismiem Facebook drošības pasākumu apiešanai, apstrādājot piekļuves pieprasījumus tās API. Piemēram, pirms piekļuves piešķiršanas, izmantojot savu Meta Graph API, Facebook vispirms pārbauda, vai pieprasījums ir no autentificēta lietotāja un uzticamas izcelsmes. Lai apietu šo piesardzības pasākumu, draudu izpildītājs ļaunprātīgajā pārlūkprogrammas paplašinājumā iekļāva kodu, kas nodrošināja, ka visiem Facebook tīmekļa vietnei nosūtītajiem pieprasījumiem no upura pārlūkprogrammas tika mainītas to galvenes, tāpēc šķita, ka tās ir arī no upura pārlūkprogrammas.

Tas sniedz paplašinājumam iespēju brīvi pārlūkot jebkuru Facebook lapu, tostarp veikt API zvanus un veikt darbības, izmantojot inficēto pārlūkprogrammu, un neatstājot nekādas pēdas. Vienkāršība, ar kādu paplašinājums varētu apiet Facebook drošības pasākumus, uzsver nepieciešamību tiešsaistes platformām būt piesardzīgām, lai atklātu un novērstu šādas ļaunprātīgas darbības. Kopš tā laika Google no Chrome veikala ir noņēmis ļaunprātīgo pārlūkprogrammas paplašinājumu “Ātrā piekļuve ChatGPT”.