'Snelle toegang tot ChatGPT' Browserextensie

Analyse heeft uitgewezen dat een valse Chrome-browserextensie genaamd 'Quick access to ChatGPT' is gebruikt door een bedreigingsactor om duizenden Facebook-accounts in gevaar te brengen, waaronder zakelijke accounts. De extensie was eerder beschikbaar in de officiële Chrome Store van Google. Deze extensie beweerde gebruikers een handige manier te bieden om te communiceren met de populaire AI-chatbot ChatGPT. In werkelijkheid is het echter ontworpen om een breed scala aan informatie uit de browser van het slachtoffer te verzamelen en cookies van alle geautoriseerde actieve sessies te stelen. De extensie installeerde ook een achterdeur die de auteur van de malware superbeheerdersmachtigingen gaf voor het Facebook-account van de gebruiker. Details over de kwaadaardige extensie zijn vrijgegeven in een rapport van de onderzoekers van Guardio Labs.

Het gebruik van de browserextensie 'Snelle toegang tot ChatGPT' is slechts één voorbeeld van hoe bedreigingsactoren hebben geprobeerd de wijdverspreide interesse in ChatGPT uit te buiten om malware te verspreiden en systemen te infiltreren. De bedreigingsactor achter de valse extensie gebruikte geavanceerde tactieken om gebruikers te misleiden om de extensie te installeren, wat benadrukt dat gebruikers waakzaam moeten zijn bij het downloaden van browserextensies en andere software van internet.

De browserextensie 'Snelle toegang tot ChatGPT' verzamelt gevoelige Facebook-informatie

De kwaadaardige browserextensie 'Quick access to ChatGPT' bood wel toegang tot de ChatGPT-chatbot door verbinding te maken met de API, zoals beloofd. De extensie verzamelde echter ook een volledige lijst met cookies die zijn opgeslagen in de browser van de gebruiker, inclusief beveiligings- en sessietokens voor verschillende services zoals Google, Twitter en YouTube, en andere actieve services.

In gevallen waarin de gebruiker een actieve geauthenticeerde sessie op Facebook had, kreeg de extensie toegang tot de Graph API voor ontwikkelaars, waardoor het alle gegevens kon verzamelen die aan het Facebook-account van de gebruiker waren gekoppeld. Nog alarmerender was dat een component in de extensiecode de aanvaller in staat stelde het Facebook-account van de gebruiker te kapen door een malafide app op het account van het slachtoffer te registreren en Facebook zover te krijgen dat deze goedkeurde.

Door een app op het account van de gebruiker te registreren, kreeg de dreigingsactor volledige beheerdersmodus op het Facebook-account van het slachtoffer zonder wachtwoorden te verzamelen of de tweefactorauthenticatie van Facebook te omzeilen. Als de extensie een zakelijk Facebook-account tegenkomt, verzamelt het alle informatie met betrekking tot dat account, inclusief momenteel actieve promoties, tegoed, valuta, minimale factureringsdrempel en of er een kredietfaciliteit aan het account is gekoppeld. De extensie zou vervolgens alle verzamelde gegevens onderzoeken, voorbereiden en terugsturen naar de Command-and-Control-server (C2, C&C) met behulp van API-aanroepen op basis van relevantie en gegevenstype.

Deze bevindingen onderstrepen de noodzaak voor internetgebruikers om voorzichtig te zijn bij het installeren van browserextensies, vooral degene die snelle toegang tot populaire diensten beloven. Ze moeten ook regelmatig hun lijst met geïnstalleerde extensies bekijken en alle extensies verwijderen die niet langer nodig zijn of die twijfelachtig gedrag vertonen.

Bedreigingsactoren kunnen proberen de verzamelde informatie te verkopen

Volgens de onderzoekers zal de bedreigingsactor achter de browserextensie 'Quick access to ChatGPT' waarschijnlijk de informatie die hij uit de campagne heeft verzameld, verkopen aan de hoogste bieder. Als alternatief kunnen de cybercriminelen proberen de gekaapte Facebook Business-accounts te gebruiken om een botleger te creëren, dat ze vervolgens kunnen gebruiken om kwaadaardige advertenties te plaatsen met behulp van de accounts van de slachtoffers.

De malware is uitgerust met mechanismen om de beveiligingsmaatregelen van Facebook te omzeilen bij het afhandelen van toegangsverzoeken tot zijn API's. Voordat Facebook bijvoorbeeld toegang verleent via zijn Meta Graph API, verifieert Facebook eerst of het verzoek afkomstig is van een geverifieerde gebruiker en een vertrouwde oorsprong. Om deze voorzorgsmaatregel te omzeilen, voegde de bedreigingsactor code toe aan de kwaadaardige browserextensie die ervoor zorgde dat alle verzoeken aan de Facebook-website vanuit de browser van het slachtoffer de headers hadden gewijzigd, zodat ze ook afkomstig leken te zijn van de browser van het slachtoffer.

Dit geeft de extensie de mogelijkheid om vrij door elke Facebook-pagina te bladeren, inclusief het maken van API-aanroepen en acties, met behulp van de geïnfecteerde browser, en zonder enig spoor achter te laten. Het gemak waarmee de extensie de beveiligingsmaatregelen van Facebook zou kunnen omzeilen, onderstreept de noodzaak voor online platforms om waakzaam te zijn bij het detecteren en voorkomen van dergelijke kwaadaardige activiteiten. De kwaadaardige browserextensie 'Quick access to ChatGPT' is inmiddels door Google uit de Chrome-winkel verwijderd.