Threat Database Malware 'Rask tilgang til ChatGPT' nettleserutvidelse

'Rask tilgang til ChatGPT' nettleserutvidelse

Analyse har avslørt at en falsk Chrome-nettleserutvidelse kalt "Rask tilgang til ChatGPT" har blitt brukt av en trusselaktør for å kompromittere tusenvis av Facebook-kontoer, inkludert bedriftskontoer. Utvidelsen var tidligere tilgjengelig på Googles offisielle Chrome Store. Denne utvidelsen hevdet å tilby brukere en praktisk måte å samhandle med den populære AI-chatboten ChatGPT. Men i virkeligheten ble den designet for å samle et bredt spekter av informasjon fra offerets nettleser og stjele informasjonskapsler fra alle autoriserte aktive økter. Utvidelsen installerte også en bakdør som ga skadevareforfatteren superadmin-tillatelser til brukerens Facebook-konto. Detaljer om den ondsinnede utvidelsen ble utgitt i en rapport fra forskerne ved Guardio Labs.

Bruken av nettleserutvidelsen 'Rask tilgang til ChatGPT' er bare ett eksempel på hvordan trusselaktører har forsøkt å utnytte den utbredte interessen for ChatGPT for å distribuere skadelig programvare og infiltrere systemer. Trusselaktøren bak den falske utvidelsen brukte sofistikerte taktikker for å lure brukere til å installere utvidelsen, noe som fremhever behovet for brukere å være på vakt når de laster ned nettleserutvidelser og annen programvare fra internett.

Nettleserutvidelsen 'Rask tilgang til ChatGPT' samler inn sensitiv Facebook-informasjon

Den ondsinnede nettleserutvidelsen "Rask tilgang til ChatGPT" ga tilgang til ChatGPT-chatboten ved å koble til API-en, som lovet. Utvidelsen hentet imidlertid også en komplett liste over informasjonskapsler som er lagret i brukerens nettleser, inkludert sikkerhets- og økttokens for ulike tjenester som Google, Twitter og YouTube, og alle andre aktive tjenester.

I tilfeller der brukeren hadde en aktiv autentisert sesjon på Facebook, fikk utvidelsen tilgang til Graph API for utviklere, som tillot den å høste alle dataene knyttet til brukerens Facebook-konto. Enda mer alarmerende, en komponent i utvidelseskoden gjorde det mulig for trusselaktøren å kapre brukerens Facebook-konto ved å registrere en useriøs app på offerets konto og få Facebook til å godkjenne den.

Ved å registrere en app på brukerens konto, fikk trusselaktøren full admin-modus på offerets Facebook-konto uten å måtte hente passord eller prøve å omgå Facebooks tofaktorautentisering. Hvis utvidelsen støter på en Business Facebook-konto, vil den samle all informasjon relatert til den kontoen, inkludert aktive kampanjer, kredittsaldo, valuta, minste faktureringsgrense og om kontoen har en kredittfasilitet knyttet til den. Utvidelsen vil deretter undersøke alle innhentede data, forberede dem og sende dem tilbake til Command-and-Control-serveren (C2, C&C) ved hjelp av API-kall basert på relevans og datatype.

Disse funnene understreker behovet for internettbrukere å være forsiktige når de installerer nettleserutvidelser, spesielt de som lover rask tilgang til populære tjenester. De bør også regelmessig gå gjennom listen over installerte utvidelser og fjerne alle som ikke lenger er nødvendige eller som har tvilsom oppførsel.

Trusselaktører kan søke å selge den innsamlede informasjonen

Ifølge forskerne vil trusselaktøren bak nettleserutvidelsen 'Rask tilgang til ChatGPT' sannsynligvis selge informasjonen den har høstet fra kampanjen til høystbydende. Alternativt kan nettkriminelle forsøke å bruke de kaprede Facebook Business-kontoene til å opprette en bothær, som de deretter kan bruke til å legge ut ondsinnede annonser ved å bruke ofrenes kontoer.

Skadevaren er utstyrt med mekanismer for å omgå Facebooks sikkerhetstiltak ved håndtering av tilgangsforespørsler til API-ene. For eksempel, før du gir tilgang via Meta Graph API, bekrefter Facebook først at forespørselen er fra en autentisert bruker og en pålitelig opprinnelse. For å omgå denne forholdsregelen, inkluderte trusselaktøren kode i den ondsinnede nettleserutvidelsen som sørget for at alle forespørsler til Facebook-nettstedet fra offerets nettleser fikk overskriftene modifisert, slik at de så ut til å stamme fra offerets nettleser også.

Dette gir utvidelsen muligheten til fritt å bla gjennom hvilken som helst Facebook-side, inkludert å foreta API-anrop og -handlinger, bruke den infiserte nettleseren, og uten å etterlate spor. Den enkle utvidelsen kan omgå Facebooks sikkerhetstiltak understreker behovet for at nettplattformer er årvåkne når det gjelder å oppdage og forhindre slik ondsinnet aktivitet. Den ondsinnede nettleserutvidelsen «Rask tilgang til ChatGPT» har siden blitt fjernet av Google fra Chromes butikk.

Trender

Mest sett

Laster inn...