'Quick access to ChatGPT' Browser Extension

A análise revelou que uma extensão falsa do navegador Chrome chamada 'Acesso rápido ao ChatGPT' foi usada por um agente de ameaças para comprometer milhares de contas do Facebook, incluindo contas comerciais. A extensão estava disponível anteriormente na Chrome Store oficial do Google. Esta extensão alegou oferecer aos usuários uma maneira conveniente de interagir com o popular AI chatbot ChatGPT. No entanto, na realidade, foi projetado para coletar uma ampla gama de informações do navegador da vítima e roubar cookies de todas as sessões ativas autorizadas. A extensão também instalou um backdoor que deu ao autor do malware permissões de superadministrador para a conta do usuário no Facebook. Detalhes sobre a extensão maliciosa foram divulgados em um relatório dos pesquisadores do Guardio Labs.

O uso da extensão do navegador 'Acesso rápido ao ChatGPT' é apenas um exemplo de como os agentes de ameaças tentam explorar o interesse generalizado no ChatGPT para distribuir malware e se infiltrar nos sistemas. O agente da ameaça por trás da extensão falsa usou táticas sofisticadas para enganar os usuários e fazê-los instalar a extensão, o que destaca a necessidade de os usuários ficarem atentos ao baixar extensões de navegador e outros softwares da Internet.

A Extensão do Navegador 'Acesso rápido ao ChatGPT' Coleta Informações Confidenciais do Facebook

A extensão de navegador maliciosa 'Acesso rápido ao ChatGPT' forneceu acesso ao chatbot ChatGPT conectando-se à sua API, conforme prometido. No entanto, a extensão também coletou uma lista completa de cookies armazenados no navegador do usuário, incluindo segurança e tokens de sessão para vários serviços como Google, Twitter e YouTube e quaisquer outros serviços ativos.

Nos casos em que o usuário tinha uma sessão autenticada ativa no Facebook, a extensão acessava a Graph API para desenvolvedores, o que permitia colher todos os dados associados à conta do usuário no Facebook. Ainda mais alarmante, um componente no código de extensão permitiu que o agente da ameaça sequestrasse a conta do usuário no Facebook, registrando um aplicativo nocivo na conta da vítima e fazendo com que o Facebook o aprovasse.

Ao registrar um aplicativo na conta do usuário, o agente da ameaça ganhou o modo de administrador completo na conta do Facebook da vítima sem precisar coletar senhas ou tentar burlar a autenticação de dois fatores do Facebook. Se a extensão encontrasse uma conta comercial do Facebook, ela coletaria todas as informações relacionadas a essa conta, incluindo promoções ativas no momento, saldo de crédito, moeda, limite mínimo de cobrança e se a conta tinha uma facilidade de crédito associada a ela. A extensão examinaria todos os dados coletados, os prepararia e os enviaria de volta ao servidor de comando e controle (C2, C&C) usando chamadas de API com base na relevância e no tipo de dados.

Essas descobertas ressaltam a necessidade de os usuários da Internet serem cautelosos ao instalar extensões de navegador, especialmente aquelas que prometem acesso rápido a serviços populares. Eles também devem revisar regularmente sua lista de extensões instaladas e remover aquelas que não são mais necessárias ou que tenham comportamento questionável.

Os Autores de Ameaças podem Tentar Vender as Informações Coletadas

De acordo com os pesquisadores, o agente da ameaça por trás da extensão do navegador 'Acesso rápido ao ChatGPT' provavelmente venderá as informações coletadas da campanha para o lance mais alto. Como alternativa, os cibercriminosos podem tentar usar as contas de negócios sequestradas do Facebook para criar um exército de bots, que eles podem usar para postar anúncios maliciosos usando as contas das vítimas.

O malware está equipado com mecanismos para contornar as medidas de segurança do Facebook ao lidar com solicitações de acesso às suas APIs. Por exemplo, antes de conceder acesso por meio de sua API Meta Graph, o Facebook primeiro verifica se a solicitação é de um usuário autenticado e de origem confiável. Para contornar essa precaução, o agente da ameaça incluiu um código na extensão de navegador maliciosa que garantiu que todas as solicitações ao site do Facebook do navegador da vítima tivessem seus cabeçalhos modificados, de modo que parecessem originar-se também do navegador da vítima.

Isso dá à extensão a capacidade de navegar livremente em qualquer página do Facebook, incluindo fazer chamadas e ações de API, usando o navegador infectado e sem deixar rastros. A facilidade com que a extensão pode burlar as medidas de segurança do Facebook ressalta a necessidade de as plataformas online estarem vigilantes na detecção e prevenção de tais atividades maliciosas. A extensão de navegador maliciosa 'Acesso rápido ao ChatGPT' foi removida pelo Google da loja do Chrome.