Extensia de browser „Acces rapid la ChatGPT”.

Analiza a arătat că o extensie falsă de browser Chrome numită „Acces rapid la ChatGPT” a fost folosită de un actor de amenințări pentru a compromite mii de conturi Facebook, inclusiv conturi de afaceri. Extensia a fost disponibilă anterior pe magazinul oficial Google Chrome. Această extensie pretindea că oferă utilizatorilor o modalitate convenabilă de a interacționa cu popularul chatbot AI ChatGPT. Cu toate acestea, în realitate, a fost conceput pentru a colecta o gamă largă de informații din browserul victimei și pentru a fura cookie-uri ale tuturor sesiunilor active autorizate. Extensia a instalat, de asemenea, o ușă din spate care a oferit autorului de malware permisiuni de super-administrator pentru contul de Facebook al utilizatorului. Detalii despre extensia rău intenționată au fost publicate într-un raport al cercetătorilor de la Guardio Labs.

Utilizarea extensiei de browser „Acces rapid la ChatGPT” este doar un exemplu al modului în care actorii amenințărilor au încercat să exploateze interesul larg răspândit pentru ChatGPT pentru a distribui malware și a se infiltra în sisteme. Actorul amenințării din spatele extensiei false a folosit tactici sofisticate pentru a înșela utilizatorii să instaleze extensia, ceea ce evidențiază necesitatea ca utilizatorii să fie vigilenți atunci când descarcă extensii de browser și alte programe de pe internet.

Extensia de browser „Acces rapid la ChatGPT” colectează informații sensibile de pe Facebook

Extensia de browser rău intenționată „Acces rapid la ChatGPT” a oferit acces la chatbot-ul ChatGPT prin conectarea la API-ul său, așa cum sa promis. Cu toate acestea, extensia a colectat și o listă completă de cookie-uri stocate în browserul utilizatorului, inclusiv jetoane de securitate și de sesiune pentru diferite servicii precum Google, Twitter și YouTube și orice alte servicii active.

În cazurile în care utilizatorul avea o sesiune activă autentificată pe Facebook, extensia a accesat API-ul Graph pentru dezvoltatori, ceea ce i-a permis să colecteze toate datele asociate contului de Facebook al utilizatorului. Și mai alarmant, o componentă a codului extensiei ia permis actorului de amenințare să deturneze contul de Facebook al utilizatorului prin înregistrarea unei aplicații necinstite pe contul victimei și făcând ca Facebook să o aprobe.

Înregistrând o aplicație pe contul utilizatorului, actorul amenințării a obținut modul complet de administrare pe contul de Facebook al victimei fără a fi nevoit să colecteze parole sau să încerce să ocolească autentificarea cu doi factori a Facebook. Dacă extensia a întâlnit un cont Business Facebook, ar colecta toate informațiile legate de acel cont, inclusiv promoțiile active în prezent, soldul creditului, moneda, pragul minim de facturare și dacă contul avea o facilitate de credit asociată. Extensia ar examina apoi toate datele culese, le va pregăti și le va trimite înapoi la serverul Command-and-Control (C2, C&C) folosind apeluri API bazate pe relevanță și tipul de date.

Aceste constatări subliniază necesitatea ca utilizatorii de internet să fie precauți atunci când instalează extensii de browser, în special cele care promit acces rapid la serviciile populare. De asemenea, ar trebui să-și revizuiască în mod regulat lista de extensii instalate și să le elimine pe cele care nu mai sunt necesare sau care au un comportament îndoielnic.

Actorii de amenințări pot încerca să vândă informațiile colectate

Potrivit cercetătorilor, actorul amenințării din spatele extensiei de browser „Acces rapid la ChatGPT” este probabil să vândă informațiile pe care le-a cules din campanie celui mai mare ofertant. Ca alternativă, infractorii cibernetici pot încerca să folosească conturile Facebook Business deturnate pentru a crea o armată de bot, pe care apoi o pot folosi pentru a posta reclame rău intenționate folosind conturile victimelor.

Malware-ul este echipat cu mecanisme de ocolire a măsurilor de securitate ale Facebook atunci când gestionează solicitările de acces la API-urile sale. De exemplu, înainte de a acorda acces prin intermediul API-ului său Meta Graph, Facebook verifică mai întâi dacă solicitarea provine de la un utilizator autentificat și o origine de încredere. Pentru a evita această precauție, actorul amenințării a inclus cod în extensia browserului rău intenționat care a asigurat că toate solicitările către site-ul Facebook din browserul victimei au fost modificate, astfel încât acestea păreau să provină și din browserul victimei.

Acest lucru oferă extensiei posibilitatea de a răsfoi liber orice pagină de Facebook, inclusiv efectuarea de apeluri și acțiuni API, folosind browser-ul infectat și fără a lăsa urme. Ușurința cu care extensia ar putea ocoli măsurile de securitate ale Facebook subliniază necesitatea ca platformele online să fie vigilente în detectarea și prevenirea unor astfel de activități rău intenționate. Extensia rău intenționată de browser „Acces rapid la ChatGPT” a fost eliminată de Google din magazinul Chrome.