Sambungan Penyemak Imbas 'Akses pantas ke ChatGPT'

Analisis telah mendedahkan bahawa sambungan pelayar Chrome palsu yang dipanggil 'Akses pantas ke ChatGPT' telah digunakan oleh aktor ancaman untuk menjejaskan beribu-ribu akaun Facebook, termasuk akaun perniagaan. Sambungan itu sebelum ini tersedia di Kedai Chrome rasmi Google. Sambungan ini mendakwa menawarkan pengguna cara yang mudah untuk berinteraksi dengan chatbot AI yang popular ChatGPT. Walau bagaimanapun, pada hakikatnya, ia direka untuk mengumpul pelbagai maklumat daripada pelayar mangsa dan mencuri kuki semua sesi aktif yang dibenarkan. Sambungan itu juga memasang pintu belakang yang memberikan kebenaran super-admin pengarang perisian hasad ke akaun Facebook pengguna. Butiran mengenai sambungan berniat jahat itu dikeluarkan dalam laporan oleh penyelidik di Guardio Labs.

Penggunaan sambungan penyemak imbas 'Akses pantas ke ChatGPT' hanyalah satu contoh bagaimana pelaku ancaman cuba mengeksploitasi minat meluas dalam ChatGPT untuk mengedarkan perisian hasad dan menyusup ke sistem. Aktor ancaman di sebalik sambungan palsu menggunakan taktik canggih untuk memperdaya pengguna supaya memasang sambungan itu, yang menyerlahkan keperluan untuk pengguna berwaspada apabila memuat turun sambungan penyemak imbas dan perisian lain daripada internet.

Sambungan Penyemak Imbas 'Akses pantas ke ChatGPT' Mengumpul Maklumat Facebook Sensitif

Sambungan penyemak imbas 'Akses pantas ke ChatGPT' yang berniat jahat telah menyediakan akses kepada chatbot ChatGPT dengan menyambung ke APInya, seperti yang dijanjikan. Walau bagaimanapun, sambungan itu turut memperoleh senarai lengkap kuki yang disimpan dalam penyemak imbas pengguna, termasuk keselamatan dan token sesi untuk pelbagai perkhidmatan seperti Google, Twitter dan YouTube serta sebarang perkhidmatan aktif yang lain.

Dalam kes di mana pengguna mempunyai sesi disahkan aktif di Facebook, sambungan itu mengakses API Graf untuk pembangun, yang membenarkannya menuai semua data yang dikaitkan dengan akaun Facebook pengguna. Lebih membimbangkan, komponen dalam kod sambungan membolehkan pelaku ancaman merampas akaun Facebook pengguna dengan mendaftarkan aplikasi penyangak pada akaun mangsa dan mendapatkan Facebook untuk meluluskannya.

Dengan mendaftarkan aplikasi pada akaun pengguna, pelaku ancaman memperoleh mod pentadbir penuh pada akaun Facebook mangsa tanpa perlu menuai kata laluan atau cuba memintas pengesahan dua faktor Facebook. Jika sambungan itu menemui akaun Facebook Perniagaan, ia akan mengumpulkan semua maklumat yang berkaitan dengan akaun itu, termasuk promosi aktif pada masa ini, baki kredit, mata wang, ambang pengebilan minimum dan sama ada akaun itu mempunyai kemudahan kredit yang dikaitkan dengannya. Sambungan itu kemudiannya akan memeriksa semua data yang dituai, menyediakannya dan menghantarnya kembali ke pelayan Command-and-Control (C2, C&C) menggunakan panggilan API berdasarkan perkaitan dan jenis data.

Penemuan ini menekankan keperluan untuk pengguna internet berhati-hati apabila memasang sambungan penyemak imbas, terutamanya yang menjanjikan akses pantas kepada perkhidmatan popular. Mereka juga harus sentiasa menyemak senarai sambungan yang dipasang mereka dan mengalih keluar mana-mana yang tidak lagi diperlukan atau yang mempunyai tingkah laku yang boleh dipersoalkan.

Ancaman Pelakon mungkin Berusaha Menjual Maklumat yang Dikumpul

Menurut penyelidik, pelaku ancaman di sebalik sambungan pelayar 'Akses pantas ke ChatGPT' berkemungkinan menjual maklumat yang diperoleh daripada kempen kepada pembida tertinggi. Sebagai alternatif, penjenayah siber mungkin cuba menggunakan akaun Perniagaan Facebook yang dirampas untuk mencipta tentera bot, yang kemudiannya boleh mereka gunakan untuk menyiarkan iklan berniat jahat menggunakan akaun mangsa.

Malware ini dilengkapi dengan mekanisme untuk memintas langkah keselamatan Facebook apabila mengendalikan permintaan akses kepada APInya. Sebagai contoh, sebelum memberikan akses melalui Meta Graph API, Facebook terlebih dahulu mengesahkan bahawa permintaan itu adalah daripada pengguna yang disahkan dan asal yang dipercayai. Untuk memintas langkah berjaga-jaga ini, pelaku ancaman memasukkan kod dalam sambungan penyemak imbas berniat jahat yang memastikan semua permintaan ke tapak web Facebook daripada penyemak imbas mangsa telah diubah suai pengepalanya, jadi ia kelihatan berasal dari penyemak imbas mangsa juga.

Ini memberikan sambungan keupayaan untuk menyemak imbas mana-mana halaman Facebook secara bebas, termasuk membuat panggilan dan tindakan API, menggunakan penyemak imbas yang dijangkiti dan tanpa meninggalkan sebarang kesan. Kemudahan sambungan itu boleh memintas langkah keselamatan Facebook menggariskan keperluan untuk platform dalam talian berwaspada dalam mengesan dan mencegah aktiviti berniat jahat tersebut. Sambungan penyemak imbas 'Akses pantas ke ChatGPT' yang berniat jahat telah dialih keluar oleh Google daripada kedai Chrome.