Екстензија за прегледач „Брзи приступ ЦхатГПТ“.

Анализа је открила да је лажно проширење претраживача Цхроме под називом „Брзи приступ ЦхатГПТ-у“ користио актер претњи да компромитује хиљаде Фацебоок налога, укључујући пословне налоге. Екстензија је раније била доступна у Гоогле-овој званичној Цхроме продавници. Ово проширење је тврдило да нуди корисницима згодан начин за интеракцију са популарним АИ цхатботом ЦхатГПТ. Међутим, у стварности је дизајниран да прикупи широк спектар информација из претраживача жртве и украде колачиће свих одобрених активних сесија. Екстензија је такође инсталирала бацкдоор који је аутору малвера дао супер-администраторске дозволе за кориснички налог на Фејсбуку. Детаљи о злонамерном проширењу објављени су у извештају истраживача из лабораторије Гуардио.

Употреба екстензије за прегледач „Брзи приступ ЦхатГПТ“ само је један пример како актери претњи покушавају да искористе широко распрострањено интересовање за ЦхатГПТ за дистрибуцију малвера и инфилтрирање у системе. Глумац који стоји иза лажног проширења користио је софистициране тактике да обмане кориснике да инсталирају екстензију, што наглашава потребу да корисници буду опрезни када преузимају проширења претраживача и други софтвер са интернета.

Екстензија за прегледач „Брзи приступ ЦхатГПТ“ прикупља осетљиве информације на Фејсбуку

Злонамерно проширење прегледача „Брзи приступ ЦхатГПТ“ је омогућило приступ ЦхатГПТ цхатботу повезивањем на његов АПИ, као што је обећано. Међутим, проширење је такође прикупило комплетну листу колачића ускладиштених у претраживачу корисника, укључујући безбедносне и токене сесије за различите услуге као што су Гоогле, Твиттер и ИоуТубе, и све друге активне услуге.

У случајевима када је корисник имао активну аутентификовану сесију на Фацебоок-у, екстензија је приступила Грапх АПИ-ју за програмере, што му је омогућило да прикупи све податке повезане са Фацебоок налогом корисника. Што је још алармантније, компонента у коду екстензије омогућила је актеру претње да отме корисников Фацебоок налог тако што је регистровао лажну апликацију на налогу жртве и натерао Фацебоок да је одобри.

Регистровањем апликације на корисничком налогу, актер претње добија пун режим администратора на Фацебоок налогу жртве без потребе да прикупља лозинке или покушава да заобиђе Фацебоок-ову двофакторску аутентификацију. Ако би проширење наишло на пословни Фацебоок налог, прикупило би све информације везане за тај налог, укључујући тренутно активне промоције, стање кредита, валуту, минимални праг за обрачун и да ли је налог имао кредитну могућност која је повезана са њим. Екстензија би затим испитала све прикупљене податке, припремила их и послала назад на сервер за команду и контролу (Ц2, Ц&Ц) користећи АПИ позиве на основу релевантности и типа података.

Ови налази наглашавају потребу да корисници интернета буду опрезни када инсталирају проширења претраживача, посебно она која обећавају брз приступ популарним услугама. Такође би требало да редовно прегледају своју листу инсталираних екстензија и уклањају све оне које више нису потребне или које имају упитно понашање.

Учесници претњи могу тражити да продају прикупљене информације

Према истраживачима, актер претње који стоји иза проширења претраживача „Брзи приступ ЦхатГПТ“-у ће вероватно продати информације које је прикупио из кампање ономе ко понуди највећу понуду. Алтернативно, сајбер-криминалци могу покушати да искористе отете Фацебоок пословне налоге да створе војску ботова, коју би затим могли да користе за постављање злонамерних огласа користећи налоге жртава.

Малвер је опремљен механизмима за заобилажење безбедносних мера Фејсбука приликом руковања захтевима за приступ његовим АПИ-јима. На пример, пре него што одобри приступ преко свог Мета Грапх АПИ-ја, Фацебоок прво проверава да ли је захтев од аутентификованог корисника и поузданог порекла. Да би заобишао ову меру предострожности, актер претње је укључио код у злонамерну екстензију претраживача који је обезбедио да сви захтеви ка Фацебоок веб локацији из претраживача жртве имају модификована заглавља, тако да изгледа да потичу и из претраживача жртве.

Ово проширењу даје могућност да слободно прегледа било коју Фацебоок страницу, укључујући упућивање АПИ позива и радњи, коришћењем зараженог претраживача и без остављања било каквог трага. Лакоћа са којом би проширење могло да заобиђе Фацебоок-ове безбедносне мере наглашава потребу да онлајн платформе буду будне у откривању и спречавању таквих злонамерних активности. Од тада је Гоогле уклонио злонамерно проширење прегледача „Брзи приступ ЦхатГПТ“ из Цхроме продавнице.