"Snabb åtkomst till ChatGPT" webbläsartillägg
Analyser har avslöjat att en falsk Chrome-webbläsartillägg som kallas "Snabb åtkomst till ChatGPT" har använts av en hotaktör för att äventyra tusentals Facebook-konton, inklusive företagskonton. Tillägget var tidigare tillgängligt på Googles officiella Chrome Store. Det här tillägget påstod sig erbjuda användarna ett bekvämt sätt att interagera med den populära AI-chatboten ChatGPT. Men i verkligheten var den designad för att samla in en mängd information från offrets webbläsare och stjäla cookies från alla auktoriserade aktiva sessioner. Tillägget installerade också en bakdörr som gav den skadliga författaren super-admin behörigheter till användarens Facebook-konto. Detaljer om den skadliga förlängningen släpptes i en rapport från forskarna vid Guardio Labs.
Användningen av webbläsartillägget "Snabb åtkomst till ChatGPT" är bara ett exempel på hur hotaktörer har försökt utnyttja det utbredda intresset för ChatGPT för att distribuera skadlig programvara och infiltrera system. Hotaktören bakom det falska tillägget använde sofistikerad taktik för att lura användare att installera tillägget, vilket understryker behovet för användare att vara vaksamma när de laddar ner webbläsartillägg och annan programvara från internet.
Webbläsartillägget "Snabb åtkomst till ChatGPT" samlar in känslig Facebook-information
Det skadliga webbläsartillägget "Snabb åtkomst till ChatGPT" gav åtkomst till ChatGPT-chatboten genom att ansluta till dess API, som utlovat. Men tillägget skördade också en komplett lista över cookies lagrade i användarens webbläsare, inklusive säkerhets- och sessionstokens för olika tjänster som Google, Twitter och YouTube, och alla andra aktiva tjänster.
I fall där användaren hade en aktiv autentiserad session på Facebook fick tillägget åtkomst till Graph API för utvecklare, vilket gjorde det möjligt för den att samla in all data som är associerad med användarens Facebook-konto. Ännu mer alarmerande, en komponent i tilläggskoden gjorde det möjligt för hotaktören att kapa användarens Facebook-konto genom att registrera en oseriös app på offrets konto och få Facebook att godkänna det.
Genom att registrera en app på användarens konto fick hotaktören fullt adminläge på offrets Facebook-konto utan att behöva skörda lösenord eller försöka kringgå Facebooks tvåfaktorsautentisering. Om tillägget stötte på ett Business Facebook-konto skulle det samla all information relaterad till det kontot, inklusive för närvarande aktiva kampanjer, kreditsaldo, valuta, lägsta faktureringsgräns och om kontot hade en kreditmöjlighet kopplad till det. Tillägget skulle sedan undersöka all insamlad data, förbereda den och skicka tillbaka den till Command-and-Control-servern (C2, C&C) med API-anrop baserat på relevans och datatyp.
Dessa fynd understryker behovet för internetanvändare att vara försiktiga när de installerar webbläsartillägg, särskilt de som lovar snabb åtkomst till populära tjänster. De bör också regelbundet granska sin lista över installerade tillägg och ta bort alla som inte längre behövs eller som har tveksamt beteende.
Hotaktörer kan försöka sälja den insamlade informationen
Enligt forskarna kommer hotaktören bakom webbläsartillägget "Snabb åtkomst till ChatGPT" sannolikt att sälja informationen som den samlade in från kampanjen till högstbjudande. Alternativt kan cyberbrottslingar försöka använda de kapade Facebook Business-kontona för att skapa en botarmé, som de sedan kan använda för att lägga upp skadliga annonser med offrens konton.
Skadlig programvara är utrustad med mekanismer för att kringgå Facebooks säkerhetsåtgärder vid hantering av åtkomstförfrågningar till dess API:er. Till exempel, innan man beviljar åtkomst via sitt Meta Graph API, verifierar Facebook först att begäran kommer från en autentiserad användare och ett pålitligt ursprung. För att kringgå denna försiktighetsåtgärd inkluderade hotaktören kod i det skadliga webbläsartillägget som säkerställde att alla förfrågningar till Facebook-webbplatsen från offrets webbläsare hade sina rubriker modifierade, så att de också verkade komma från offrets webbläsare.
Detta ger tillägget möjligheten att fritt surfa på vilken Facebook-sida som helst, inklusive att göra API-anrop och åtgärder, använda den infekterade webbläsaren och utan att lämna några spår. Den lätthet med vilken tillägget kunde kringgå Facebooks säkerhetsåtgärder understryker behovet av onlineplattformar att vara vaksamma när det gäller att upptäcka och förhindra sådan skadlig aktivitet. Det skadliga webbläsartillägget "Snabb åtkomst till ChatGPT" har sedan dess tagits bort av Google från Chromes butik.
