Rozszerzenie przeglądarki „Szybki dostęp do ChatGPT”.
Analiza wykazała, że fałszywe rozszerzenie przeglądarki Chrome o nazwie „Szybki dostęp do ChatGPT” zostało wykorzystane przez cyberprzestępcę do włamania się do tysięcy kont na Facebooku, w tym kont firmowych. Rozszerzenie było wcześniej dostępne w oficjalnym sklepie Google Chrome Store. To rozszerzenie rzekomo oferuje użytkownikom wygodny sposób interakcji z popularnym chatbotem AI ChatGPT. Jednak w rzeczywistości miał na celu zbieranie szerokiego zakresu informacji z przeglądarki ofiary i kradzież plików cookie wszystkich autoryzowanych aktywnych sesji. Rozszerzenie instalowało również backdoora, który dawał autorowi złośliwego oprogramowania uprawnienia superadministratora do konta użytkownika na Facebooku. Szczegóły dotyczące złośliwego rozszerzenia zostały ujawnione w raporcie naukowców z Guardio Labs.
Wykorzystanie rozszerzenia przeglądarki „Szybki dostęp do ChatGPT” to tylko jeden z przykładów tego, jak cyberprzestępcy próbują wykorzystać powszechne zainteresowanie ChatGPT do dystrybucji złośliwego oprogramowania i infiltracji systemów. Aktor stojący za fałszywym rozszerzeniem stosował wyrafinowane taktyki, aby oszukać użytkowników w celu zainstalowania rozszerzenia, co podkreśla potrzebę zachowania czujności przez użytkowników podczas pobierania rozszerzeń przeglądarki i innego oprogramowania z Internetu.
Rozszerzenie przeglądarki „Szybki dostęp do ChatGPT” zbiera poufne informacje z Facebooka
Złośliwe rozszerzenie przeglądarki „Szybki dostęp do ChatGPT” zapewniało dostęp do chatbota ChatGPT poprzez połączenie z jego interfejsem API, zgodnie z obietnicą. Jednak rozszerzenie zebrało również pełną listę plików cookie przechowywanych w przeglądarce użytkownika, w tym tokeny bezpieczeństwa i sesji dla różnych usług, takich jak Google, Twitter i YouTube, oraz wszelkich innych aktywnych usług.
W przypadkach, gdy użytkownik miał aktywną uwierzytelnioną sesję na Facebooku, rozszerzenie uzyskiwało dostęp do Graph API dla programistów, co pozwalało mu na zbieranie wszystkich danych powiązanych z kontem użytkownika na Facebooku. Jeszcze bardziej alarmujący jest fakt, że komponent w kodzie rozszerzenia umożliwił ugrupowaniu cyberprzestępczemu przejęcie konta użytkownika na Facebooku poprzez zarejestrowanie nieuczciwej aplikacji na koncie ofiary i uzyskanie zatwierdzenia przez Facebooka.
Rejestrując aplikację na koncie użytkownika, cyberprzestępca uzyskiwał pełny tryb administratora na koncie ofiary na Facebooku bez konieczności zbierania haseł lub prób obejścia uwierzytelniania dwuskładnikowego Facebooka. Jeśli rozszerzenie natrafiłoby na firmowe konto na Facebooku, zebrałoby wszystkie informacje związane z tym kontem, w tym aktualnie aktywne promocje, saldo kredytu, walutę, minimalny próg rozliczeniowy oraz to, czy z kontem jest powiązany kredyt. Następnie rozszerzenie zbadałoby wszystkie zebrane dane, przygotowało je i odesłało z powrotem do serwera Command-and-Control (C2, C&C) przy użyciu wywołań API w oparciu o trafność i typ danych.
Odkrycia te podkreślają potrzebę zachowania ostrożności przez internautów podczas instalowania rozszerzeń przeglądarki, zwłaszcza tych obiecujących szybki dostęp do popularnych usług. Powinni również regularnie przeglądać listę zainstalowanych rozszerzeń i usuwać te, które nie są już potrzebne lub mają wątpliwe działanie.
Podmioty zagrażające mogą próbować sprzedać zebrane informacje
Zdaniem badaczy ugrupowanie cyberprzestępcze stojące za rozszerzeniem przeglądarki „Szybki dostęp do ChatGPT” prawdopodobnie będzie sprzedawać informacje zebrane podczas kampanii temu, kto zaoferuje najwyższą cenę. Alternatywnie, cyberprzestępcy mogą próbować wykorzystać przejęte konta Facebook Business do stworzenia armii botów, której mogliby następnie użyć do publikowania złośliwych reklam przy użyciu kont ofiar.
Złośliwe oprogramowanie jest wyposażone w mechanizmy omijania zabezpieczeń Facebooka podczas obsługi żądań dostępu do jego interfejsów API. Na przykład, przed przyznaniem dostępu za pośrednictwem API Meta Graph, Facebook najpierw weryfikuje, czy żądanie pochodzi od uwierzytelnionego użytkownika i zaufanego źródła. Aby obejść ten środek ostrożności, atakujący umieścił kod w złośliwym rozszerzeniu przeglądarki, który zapewniał, że wszystkie żądania kierowane do witryny Facebook z przeglądarki ofiary miały zmodyfikowane nagłówki, tak aby wyglądały, jakby również pochodziły z przeglądarki ofiary.
Daje to rozszerzeniu możliwość swobodnego przeglądania dowolnej strony na Facebooku, w tym wykonywania wywołań i działań API, korzystania z zainfekowanej przeglądarki i bez pozostawiania śladów. Łatwość, z jaką rozszerzenie może obejść środki bezpieczeństwa Facebooka, podkreśla potrzebę zachowania czujności przez platformy internetowe w wykrywaniu takiej złośliwej działalności i zapobieganiu jej. Złośliwe rozszerzenie przeglądarki „Szybki dostęp do ChatGPT” zostało już usunięte przez Google ze sklepu Chrome.
