Rozšírenie prehliadača „Rýchly prístup k ChatGPT“.

Analýza odhalila, že falošné rozšírenie prehliadača Chrome s názvom „Rýchly prístup k ChatGPT“ použil aktér hrozby na kompromitáciu tisícok účtov na Facebooku vrátane obchodných účtov. Rozšírenie bolo predtým dostupné v oficiálnom obchode Chrome od spoločnosti Google. Toto rozšírenie tvrdilo, že používateľom ponúka pohodlný spôsob interakcie s populárnym chatbotom AI ChatGPT. V skutočnosti bol však navrhnutý tak, aby zhromažďoval širokú škálu informácií z prehliadača obete a ukradol súbory cookie všetkých povolených aktívnych relácií. Rozšírenie tiež nainštalovalo zadné vrátka, ktoré autorovi malvéru udelilo supersprávcovské oprávnenia k účtu používateľa na Facebooku. Podrobnosti o škodlivom rozšírení boli zverejnené v správe výskumníkov z Guardio Labs.

Použitie rozšírenia prehliadača „Rýchly prístup k ChatGPT“ je len jedným z príkladov toho, ako sa aktéri hrozieb snažia využiť široký záujem o ChatGPT na distribúciu škodlivého softvéru a infiltráciu systémov. Hrozba, ktorá stojí za falošným rozšírením, použila sofistikovanú taktiku na oklamanie používateľov, aby si rozšírenie nainštalovali, čo zdôrazňuje potrebu ostražitosti používateľov pri sťahovaní rozšírení prehliadača a iného softvéru z internetu.

Rozšírenie prehliadača „Rýchly prístup k ChatGPT“ zhromažďuje citlivé informácie o Facebooku

Škodlivé rozšírenie prehliadača „Rýchly prístup k ChatGPT“ poskytlo prístup k chatbotu ChatGPT pripojením k jeho API, ako bolo sľúbené. Rozšírenie však zozbieralo aj úplný zoznam súborov cookie uložených v prehliadači používateľa vrátane tokenov zabezpečenia a relácií pre rôzne služby, ako sú Google, Twitter a YouTube, a akékoľvek ďalšie aktívne služby.

V prípadoch, keď mal používateľ aktívnu autentifikovanú reláciu na Facebooku, rozšírenie pristúpilo k Graph API pre vývojárov, čo mu umožnilo zozbierať všetky dáta spojené s Facebookovým účtom používateľa. Ešte alarmujúcejšie je, že komponent v rozširujúcom kóde umožnil aktérovi hrozby uniesť používateľský účet na Facebooku registráciou nečestnej aplikácie na účet obete a prinútením Facebooku, aby to schválil.

Zaregistrovaním aplikácie na používateľskom účte získal aktér hrozby plný režim správcu na facebookovom účte obete bez toho, aby musel zbierať heslá alebo sa pokúšať obísť dvojfaktorovú autentifikáciu Facebooku. Ak by rozšírenie narazilo na firemný účet na Facebooku, zozbieralo by všetky informácie súvisiace s týmto účtom, vrátane aktuálne aktívnych akcií, kreditného zostatku, meny, minimálneho fakturačného limitu a toho, či bol k účtu priradený úverový nástroj. Rozšírenie by potom preskúmalo všetky zozbierané údaje, pripravilo ich a poslalo späť na server Command-and-Control (C2, C&C) pomocou volaní API na základe relevantnosti a typu údajov.

Tieto zistenia podčiarkujú potrebu opatrnosti používateľov internetu pri inštalácii rozšírení prehliadača, najmä tých, ktoré sľubujú rýchly prístup k obľúbeným službám. Mali by tiež pravidelne kontrolovať zoznam nainštalovaných rozšírení a odstrániť tie, ktoré už nie sú potrebné alebo ktoré majú sporné správanie.

Aktéri hrozieb sa môžu snažiť predať zhromaždené informácie

Podľa výskumníkov je pravdepodobné, že aktér hrozieb, ktorý stojí za rozšírením prehliadača „Rýchly prístup k ChatGPT“, predá informácie získané z kampane tomu, kto ponúkne najvyššiu cenu. Prípadne sa kyberzločinci môžu pokúsiť použiť unesené účty Facebook Business na vytvorenie armády robotov, ktorú by potom mohli použiť na uverejňovanie škodlivých reklám pomocou účtov obetí.

Malvér je vybavený mechanizmami na obchádzanie bezpečnostných opatrení Facebooku pri vybavovaní žiadostí o prístup k jeho API. Napríklad pred udelením prístupu prostredníctvom svojho Meta Graph API Facebook najprv overí, či žiadosť pochádza od overeného používateľa a dôveryhodného pôvodu. Aby sa toto opatrenie obišlo, aktér hrozby zahrnul kód do škodlivého rozšírenia prehliadača, ktoré zabezpečilo, že všetky požiadavky na webovú stránku Facebook z prehliadača obete budú mať upravené hlavičky, takže sa zdalo, že pochádzajú aj z prehliadača obete.

To dáva rozšíreniu možnosť voľne prechádzať akúkoľvek stránku na Facebooku, vrátane volaní a akcií API, pomocou infikovaného prehliadača a bez zanechania akejkoľvek stopy. Jednoduchosť, s akou by rozšírenie mohlo obísť bezpečnostné opatrenia Facebooku, podčiarkuje potrebu ostražitosti online platforiem pri zisťovaní a predchádzaní takejto zákernej činnosti. Škodlivé rozšírenie prehliadača „Rýchly prístup k ChatGPT“ bolo odvtedy spoločnosťou Google odstránené z obchodu Chrome.