Браузерное расширение «Быстрый доступ к ChatGPT»

Анализ показал, что поддельное расширение браузера Chrome под названием «Быстрый доступ к ChatGPT» использовалось злоумышленником для взлома тысяч учетных записей Facebook, включая бизнес-аккаунты. Расширение ранее было доступно в официальном магазине Google Chrome. Утверждалось, что это расширение предлагает пользователям удобный способ взаимодействия с популярным ИИ-чатботом ChatGPT. Однако на самом деле он был разработан для сбора широкого спектра информации из браузера жертвы и кражи файлов cookie всех авторизованных активных сессий. Расширение также установило бэкдор, который давал автору вредоносного ПО права суперадминистратора на учетную запись пользователя Facebook. Подробности о вредоносном расширении были опубликованы в отчете исследователей Guardio Labs.

Использование расширения браузера «Быстрый доступ к ChatGPT» — лишь один из примеров того, как злоумышленники пытаются использовать широко распространенный интерес к ChatGPT для распространения вредоносных программ и проникновения в системы. Злоумышленник, стоящий за поддельным расширением, использовал изощренную тактику, чтобы обманом заставить пользователей установить расширение, что подчеркивает необходимость для пользователей проявлять бдительность при загрузке расширений браузера и другого программного обеспечения из Интернета.

Расширение браузера «Быстрый доступ к ChatGPT» собирает конфиденциальную информацию Facebook

Вредоносное расширение браузера «Быстрый доступ к ChatGPT» действительно предоставляло доступ к чат-боту ChatGPT, подключаясь к его API, как и было обещано. Однако расширение также собрало полный список файлов cookie, хранящихся в браузере пользователя, включая токены безопасности и сеанса для различных служб, таких как Google, Twitter и YouTube, а также любых других активных служб.

В тех случаях, когда у пользователя был активный аутентифицированный сеанс на Facebook, расширение обращалось к Graph API для разработчиков, что позволяло ему собирать все данные, связанные с учетной записью пользователя Facebook. Еще более тревожным является то, что компонент в коде расширения позволил злоумышленнику захватить учетную запись пользователя Facebook, зарегистрировав мошенническое приложение в учетной записи жертвы и получив одобрение Facebook.

Зарегистрировав приложение в учетной записи пользователя, злоумышленник получил полный режим администратора в учетной записи Facebook жертвы без необходимости собирать пароли или пытаться обойти двухфакторную аутентификацию Facebook. Если расширение столкнется с учетной записью Business Facebook, оно соберет всю информацию, связанную с этой учетной записью, включая текущие рекламные акции, баланс кредита, валюту, минимальный порог выставления счетов и наличие связанной с учетной записью кредитной линии. Затем расширение будет проверять все собранные данные, подготавливать их и отправлять обратно на сервер управления и контроля (C2, C&C) с помощью вызовов API на основе релевантности и типа данных.

Эти результаты подчеркивают необходимость того, чтобы интернет-пользователи были осторожны при установке расширений браузера, особенно тех, которые обещают быстрый доступ к популярным сервисам. Им также следует регулярно просматривать список установленных расширений и удалять те, которые больше не нужны или ведут себя сомнительно.

Злоумышленники могут попытаться продать собранную информацию

По мнению исследователей, злоумышленник, стоящий за расширением браузера «Быстрый доступ к ChatGPT», скорее всего, продаст информацию, полученную в ходе кампании, тому, кто предложит самую высокую цену. В качестве альтернативы киберпреступники могут попытаться использовать взломанные учетные записи Facebook Business для создания армии ботов, которую они затем могут использовать для размещения вредоносной рекламы с использованием учетных записей жертв.

Вредонос оснащен механизмами обхода мер безопасности Facebook при обработке запросов на доступ к его API. Например, прежде чем предоставить доступ через свой Meta Graph API, Facebook сначала проверяет, что запрос исходит от аутентифицированного пользователя и доверенного источника. Чтобы обойти эту меру предосторожности, злоумышленник включил в вредоносное расширение браузера код, который гарантировал, что все запросы к веб-сайту Facebook из браузера жертвы будут иметь измененные заголовки, поэтому они, как представляется, также исходят из браузера жертвы.

Это дает расширению возможность свободно просматривать любую страницу Facebook, в том числе выполнять вызовы и действия API, используя зараженный браузер и не оставляя следов. Легкость, с которой расширение может обойти меры безопасности Facebook, подчеркивает необходимость того, чтобы онлайн-платформы проявляли бдительность при обнаружении и предотвращении такой вредоносной деятельности. Вредоносное расширение браузера «Быстрый доступ к ChatGPT» было удалено Google из магазина Chrome.