Razširitev brskalnika 'Hiter dostop do ChatGPT'

Analiza je pokazala, da je lažno razširitev brskalnika Chrome, imenovano 'Quick access to ChatGPT', uporabil akter grožnje, da bi ogrozil na tisoče računov Facebook, vključno s poslovnimi računi. Razširitev je bila prej na voljo v Googlovi uradni trgovini Chrome. Ta razširitev naj bi uporabnikom ponudila priročen način za interakcijo s priljubljenim klepetalnim robotom AI ChatGPT. Vendar je bil v resnici zasnovan za zbiranje širokega nabora informacij iz brskalnika žrtve in krajo piškotkov vseh pooblaščenih aktivnih sej. Razširitev je namestila tudi stranska vrata, ki so avtorju zlonamerne programske opreme dala superskrbniška dovoljenja za uporabnikov račun Facebook. Podrobnosti o zlonamerni razširitvi so objavili v poročilu raziskovalcev Guardio Labs.

Uporaba razširitve brskalnika »Hiter dostop do ChatGPT« je samo en primer, kako akterji groženj poskušajo izkoristiti široko zanimanje za ChatGPT za distribucijo zlonamerne programske opreme in infiltracijo v sisteme. Grožnja, ki stoji za lažno razširitvijo, je uporabila prefinjeno taktiko, da bi zavedla uporabnike, da bi namestili razširitev, kar poudarja, da morajo biti uporabniki pozorni pri prenosu razširitev brskalnika in druge programske opreme iz interneta.

Razširitev brskalnika 'Hitri dostop do ChatGPT' zbira občutljive podatke Facebooka

Zlonamerna razširitev brskalnika 'Quick access to ChatGPT' je omogočila dostop do chatbota ChatGPT s povezavo na njegov API, kot je bilo obljubljeno. Vendar pa je razširitev zbrala tudi celoten seznam piškotkov, shranjenih v uporabnikovem brskalniku, vključno z varnostnimi žetoni in žetoni seje za različne storitve, kot so Google, Twitter in YouTube, ter vse druge aktivne storitve.

V primerih, ko je imel uporabnik aktivno overjeno sejo na Facebooku, je razširitev dostopala do Graph API za razvijalce, kar ji je omogočilo zbiranje vseh podatkov, povezanih z uporabnikovim Facebook računom. Še bolj zaskrbljujoče je, da je komponenta v razširitveni kodi akterju grožnje omogočila, da ugrabi uporabnikov Facebook račun tako, da je na račun žrtve registriral lažno aplikacijo in Facebook to odobril.

Z registracijo aplikacije na uporabniškem računu je povzročitelj grožnje pridobil polni skrbniški način na Facebookovem računu žrtve, ne da bi mu bilo treba zbirati gesla ali poskušati zaobiti Facebookovo dvofaktorsko avtentikacijo. Če bi razširitev naletela na poslovni Facebook račun, bi zbrala vse informacije, povezane s tem računom, vključno s trenutno aktivnimi promocijami, kreditnim stanjem, valuto, najnižjim pragom za obračun in ali je imel račun povezan kredit. Razširitev bi nato pregledala vse zbrane podatke, jih pripravila in poslala nazaj v strežnik za ukazovanje in nadzor (C2, C&C) s pomočjo klicev API-ja na podlagi ustreznosti in vrste podatkov.

Te ugotovitve poudarjajo, da morajo biti uporabniki interneta previdni pri nameščanju razširitev brskalnika, zlasti tistih, ki obljubljajo hiter dostop do priljubljenih storitev. Prav tako morajo redno pregledovati svoj seznam nameščenih razširitev in odstraniti vse, ki niso več potrebne ali imajo vprašljivo delovanje.

Akterji grožnje lahko poskušajo prodati zbrane informacije

Po mnenju raziskovalcev bo akter grožnje, ki stoji za razširitvijo brskalnika 'Hiter dostop do ChatGPT', verjetno prodal informacije, ki jih je pridobil v kampanji, tistemu, ki bo ponudil najvišjo ceno. Kibernetski kriminalci lahko poskusijo uporabiti ugrabljene račune Facebook Business za ustvarjanje vojske botov, ki bi jih lahko nato uporabili za objavo zlonamernih oglasov z uporabo računov žrtev.

Zlonamerna programska oprema je opremljena z mehanizmi za izogibanje Facebookovim varnostnim ukrepom pri obravnavanju zahtev za dostop do njegovih API-jev. Na primer, preden odobri dostop prek API-ja Meta Graph, Facebook najprej preveri, ali je zahteva od preverjenega uporabnika in zaupanja vrednega izvora. Da bi se izognil temu previdnostnemu ukrepu, je povzročitelj grožnje vključil kodo v zlonamerno razširitev brskalnika, ki je zagotovila, da so bile glave vseh zahtev do spletnega mesta Facebook iz brskalnika žrtve spremenjene, tako da se je zdelo, da izvirajo tudi iz brskalnika žrtve.

To razširitvi omogoča prosto brskanje po kateri koli Facebook strani, vključno s klici in dejanji API-ja, z uporabo okuženega brskalnika in brez puščanja sledi. Enostavnost, s katero bi lahko razširitev zaobšla Facebookove varnostne ukrepe, poudarja potrebo, da so spletne platforme pozorne pri odkrivanju in preprečevanju takšnih zlonamernih dejavnosti. Google je medtem odstranil zlonamerno razširitev brskalnika »Hiter dostop do ChatGPT« iz trgovine Chrome.