Zbritje me shumë licenca
Threat Database Malware Shtesa e shfletuesit 'Qasje e shpejtë në ChatGPT'

Shtesa e shfletuesit 'Qasje e shpejtë në ChatGPT'

Nga MezoMalware, Stealers
Përkthe në:
Shqip

Analiza ka zbuluar se një shtesë e rreme e shfletuesit Chrome e quajtur 'Qasja e shpejtë në ChatGPT' është përdorur nga një aktor kërcënimi për të komprometuar mijëra llogari të Facebook, duke përfshirë llogaritë e biznesit. Shtesa ishte më parë e disponueshme në Dyqanin zyrtar të Google Chrome. Kjo shtesë pretendonte se u ofronte përdoruesve një mënyrë të përshtatshme për të bashkëvepruar me chatbot popullor të AI ChatGPT. Megjithatë, në realitet, ai ishte krijuar për të mbledhur një gamë të gjerë informacioni nga shfletuesi i viktimës dhe për të vjedhur cookie-t e të gjitha seancave aktive të autorizuara. Shtesa gjithashtu instaloi një derë të pasme që i dha autorit të malware autorit të super-administratorit në llogarinë e përdoruesit në Facebook. Detajet rreth zgjerimit me qëllim të keq u publikuan në një raport nga studiuesit në Guardio Labs.

Përdorimi i shtesës së shfletuesit 'Qasje e shpejtë në ChatGPT' është vetëm një shembull se si aktorët e kërcënimit janë përpjekur të shfrytëzojnë interesin e përhapur në ChatGPT për të shpërndarë malware dhe për të infiltruar sisteme. Aktori i kërcënimit që qëndron pas shtesës së rreme përdori taktika të sofistikuara për të mashtruar përdoruesit në instalimin e shtesës, gjë që thekson nevojën që përdoruesit të jenë vigjilentë kur shkarkojnë shtesa të shfletuesit dhe softuer të tjerë nga interneti.

Shtesa e shfletuesit 'Qasje e shpejtë në ChatGPT' mbledh informacione të ndjeshme në Facebook

Shtesa e shfletuesit me qëllim të keq 'Qasje e shpejtë në ChatGPT' siguroi akses në chatbot ChatGPT duke u lidhur me API-në e tij, siç ishte premtuar. Sidoqoftë, zgjerimi gjithashtu grumbulloi një listë të plotë të kukive të ruajtura në shfletuesin e përdoruesit, duke përfshirë shenjat e sigurisë dhe sesioneve për shërbime të ndryshme si Google, Twitter dhe YouTube, dhe çdo shërbim tjetër aktiv.

Në rastet kur përdoruesi kishte një seancë aktive të vërtetuar në Facebook, zgjerimi iu qaset Graph API për zhvilluesit, gjë që e lejoi atë të mbledhë të gjitha të dhënat e lidhura me llogarinë e përdoruesit në Facebook. Akoma më alarmante, një komponent në kodin shtesë i mundësoi aktorit të kërcënimit të rrëmbejë llogarinë e përdoruesit në Facebook duke regjistruar një aplikacion mashtrues në llogarinë e viktimës dhe duke bërë që Facebook ta miratojë atë.

Duke regjistruar një aplikacion në llogarinë e përdoruesit, aktori i kërcënimit fitoi modalitetin e plotë të administratorit në llogarinë e Facebook-ut të viktimës pa pasur nevojë të mbledhë fjalëkalime ose të përpiqet të anashkalojë vërtetimin me dy faktorë të Facebook. Nëse zgjerimi do të haste në një llogari biznesi në Facebook, ajo do të mbledhë të gjitha informacionet në lidhje me atë llogari, duke përfshirë promovimet aktualisht aktive, bilancin e kredisë, monedhën, pragun minimal të faturimit dhe nëse llogaria kishte një lehtësi kredie të lidhur me të. Shtesa më pas do të ekzaminojë të gjitha të dhënat e grumbulluara, do t'i përgatisë dhe do t'i dërgojë përsëri në serverin Command-and-Control (C2, C&C) duke përdorur thirrjet API bazuar në rëndësinë dhe llojin e të dhënave.

Këto gjetje nënvizojnë nevojën që përdoruesit e internetit të jenë të kujdesshëm kur instalojnë shtesa të shfletuesit, veçanërisht ato që premtojnë qasje të shpejtë në shërbimet e njohura. Ata gjithashtu duhet të rishikojnë rregullisht listën e tyre të shtesave të instaluara dhe të heqin ato që nuk janë më të nevojshme ose që kanë sjellje të dyshimtë.

Aktorët e kërcënimit mund të kërkojnë të shesin informacionin e mbledhur

Sipas studiuesve, aktori i kërcënimit që qëndron pas zgjerimit të shfletuesit 'Qasje e shpejtë në ChatGPT' ka të ngjarë të shesë informacionin që ka marrë nga fushata te ofertuesi më i lartë. Përndryshe, kriminelët kibernetikë mund të përpiqen të përdorin llogaritë e rrëmbyera të Facebook Business për të krijuar një ushtri bot, të cilën ata mund ta përdorin më pas për të postuar reklama me qëllim të keq duke përdorur llogaritë e viktimave.

Malware është i pajisur me mekanizma për anashkalimin e masave të sigurisë të Facebook kur trajton kërkesat për akses në API-të e tij. Për shembull, përpara se të japë akses nëpërmjet API-së së tij Meta Graph, Facebook fillimisht verifikon që kërkesa është nga një përdorues i vërtetuar dhe një origjinë e besuar. Për të anashkaluar këtë masë paraprake, aktori i kërcënimit përfshiu kodin në shtesën e shfletuesit me qëllim të keq që siguronte që të gjitha kërkesat në faqen e Facebook nga shfletuesi i viktimës të modifikoheshin titujt e tyre, kështu që ato dukej se vinin gjithashtu nga shfletuesi i viktimës.

Kjo i jep shtesës mundësinë për të shfletuar lirshëm çdo faqe në Facebook, duke përfshirë thirrjet dhe veprimet API, përdorimin e shfletuesit të infektuar dhe pa lënë asnjë gjurmë. Lehtësia me të cilën zgjerimi mund të anashkalojë masat e sigurisë së Facebook-ut nënvizon nevojën që platformat online të jenë vigjilente në zbulimin dhe parandalimin e një aktiviteti të tillë keqdashës. Shtesa e shfletuesit me qëllim të keq 'Qasje e shpejtë në ChatGPT' është hequr që atëherë nga Google nga dyqani i Chrome.

Në trend

Më e shikuara

Po ngarkohet...