'เข้าถึงด่วนไปยัง ChatGPT' ส่วนขยายเบราว์เซอร์
การวิเคราะห์พบว่าส่วนขยายเบราว์เซอร์ Chrome ปลอมที่เรียกว่า 'การเข้าถึงด่วนไปยัง ChatGPT' ถูกใช้โดยผู้คุกคามเพื่อประนีประนอมบัญชี Facebook นับพันบัญชี รวมถึงบัญชีธุรกิจ ส่วนขยายนี้เคยมีอยู่ใน Chrome Store อย่างเป็นทางการของ Google ส่วนขยายนี้อ้างว่าให้วิธีที่สะดวกแก่ผู้ใช้ในการโต้ตอบกับ Chatbot AI ยอดนิยม ChatGPT อย่างไรก็ตาม ในความเป็นจริง มันถูกออกแบบมาเพื่อรวบรวมข้อมูลที่หลากหลายจากเบราว์เซอร์ของเหยื่อ และขโมยคุกกี้ของเซสชั่นที่ได้รับอนุญาตทั้งหมด ส่วนขยายยังติดตั้งแบ็คดอร์ที่ให้สิทธิ์ผู้ดูแลระบบระดับสูงแก่ผู้เขียนมัลแวร์ในบัญชี Facebook ของผู้ใช้ รายละเอียดเกี่ยวกับส่วนขยายที่เป็นอันตรายได้รับการเผยแพร่ในรายงานโดยนักวิจัยที่ Guardio Labs
การใช้ส่วนขยายเบราว์เซอร์ 'การเข้าถึงด่วนไปยัง ChatGPT' เป็นเพียงตัวอย่างหนึ่งของวิธีที่ผู้คุกคามพยายามใช้ประโยชน์จากความสนใจที่แพร่หลายใน ChatGPT เพื่อกระจายมัลแวร์และแทรกซึมเข้าไปในระบบ ผู้คุกคามที่อยู่เบื้องหลังส่วนขยายปลอมใช้กลยุทธ์ที่ซับซ้อนเพื่อหลอกลวงผู้ใช้ให้ติดตั้งส่วนขยาย ซึ่งเน้นย้ำถึงความจำเป็นที่ผู้ใช้จะต้องระมัดระวังเมื่อดาวน์โหลดส่วนขยายของเบราว์เซอร์และซอฟต์แวร์อื่นๆ จากอินเทอร์เน็ต
ส่วนขยายเบราว์เซอร์ 'การเข้าถึงด่วนไปยัง ChatGPT' รวบรวมข้อมูล Facebook ที่ละเอียดอ่อน
ส่วนขยายเบราว์เซอร์ 'Quick access to ChatGPT' ที่เป็นอันตรายได้ให้การเข้าถึงแชทบอท ChatGPT โดยการเชื่อมต่อกับ API ตามที่สัญญาไว้ อย่างไรก็ตาม ส่วนขยายยังรวบรวมรายการคุกกี้ทั้งหมดที่จัดเก็บไว้ในเบราว์เซอร์ของผู้ใช้ รวมถึงความปลอดภัยและโทเค็นเซสชันสำหรับบริการต่างๆ เช่น Google, Twitter และ YouTube และบริการอื่นๆ ที่ใช้งานอยู่
ในกรณีที่ผู้ใช้มีเซสชันยืนยันตัวตนที่ใช้งานอยู่บน Facebook ส่วนขยายจะเข้าถึง Graph API สำหรับนักพัฒนา ซึ่งทำให้สามารถเก็บเกี่ยวข้อมูลทั้งหมดที่เกี่ยวข้องกับบัญชี Facebook ของผู้ใช้ได้ ที่น่าตกใจยิ่งกว่านั้น ส่วนประกอบในรหัสส่วนขยายทำให้ผู้คุกคามสามารถจี้บัญชี Facebook ของผู้ใช้โดยลงทะเบียนแอปปลอมในบัญชีของเหยื่อและให้ Facebook อนุมัติ
เมื่อลงทะเบียนแอปในบัญชีผู้ใช้ ผู้คุกคามจะได้รับโหมดผู้ดูแลระบบเต็มรูปแบบในบัญชี Facebook ของเหยื่อ โดยไม่ต้องเก็บรหัสผ่านหรือพยายามเลี่ยงการยืนยันตัวตนแบบสองปัจจัยของ Facebook หากส่วนขยายพบบัญชี Facebook ธุรกิจ ส่วนขยายจะรวบรวมข้อมูลทั้งหมดที่เกี่ยวข้องกับบัญชีนั้น รวมถึงโปรโมชันที่ใช้งานอยู่ ยอดเครดิต สกุลเงิน เกณฑ์การเรียกเก็บเงินขั้นต่ำ และบัญชีนั้นมีวงเงินสินเชื่อที่เกี่ยวข้องหรือไม่ จากนั้นส่วนขยายจะตรวจสอบข้อมูลที่รวบรวมทั้งหมด จัดเตรียมและส่งกลับไปยังเซิร์ฟเวอร์ Command-and-Control (C2, C&C) โดยใช้การเรียก API ตามความเกี่ยวข้องและประเภทข้อมูล
การค้นพบนี้เน้นย้ำถึงความจำเป็นที่ผู้ใช้อินเทอร์เน็ตจะต้องระมัดระวังเมื่อติดตั้งส่วนขยายของเบราว์เซอร์ โดยเฉพาะอย่างยิ่งส่วนขยายที่มีแนวโน้มว่าจะเข้าถึงบริการยอดนิยมได้อย่างรวดเร็ว นอกจากนี้ พวกเขาควรตรวจสอบรายการส่วนขยายที่ติดตั้งเป็นประจำ และลบส่วนขยายที่ไม่จำเป็นอีกต่อไปหรือมีพฤติกรรมที่น่าสงสัย
ผู้คุกคามอาจพยายามขายข้อมูลที่รวบรวมได้
จากข้อมูลของนักวิจัย ผู้คุกคามที่อยู่เบื้องหลังส่วนขยายเบราว์เซอร์ 'Quick access to ChatGPT' มีแนวโน้มที่จะขายข้อมูลที่เก็บเกี่ยวจากแคมเปญให้กับผู้เสนอราคาสูงสุด อีกทางหนึ่ง อาชญากรไซเบอร์อาจพยายามใช้บัญชี Facebook Business ที่ถูกจี้เพื่อสร้างกองทัพบอท ซึ่งพวกเขาสามารถใช้เพื่อโพสต์โฆษณาที่เป็นอันตรายโดยใช้บัญชีของเหยื่อ
มัลแวร์ติดตั้งกลไกสำหรับการเลี่ยงผ่านมาตรการรักษาความปลอดภัยของ Facebook เมื่อจัดการคำขอเข้าถึง API ตัวอย่างเช่น ก่อนที่จะให้สิทธิ์การเข้าถึงผ่าน Meta Graph API Facebook จะตรวจสอบก่อนว่าคำขอนั้นมาจากผู้ใช้ที่ผ่านการรับรองความถูกต้องและต้นทางที่เชื่อถือได้ เพื่อหลีกเลี่ยงข้อควรระวังนี้ ผู้คุกคามได้รวมโค้ดในส่วนขยายของเบราว์เซอร์ที่เป็นอันตรายซึ่งรับประกันว่าคำขอทั้งหมดไปยังเว็บไซต์ Facebook จากเบราว์เซอร์ของเหยื่อมีการแก้ไขส่วนหัว ดังนั้นพวกมันจึงดูเหมือนว่ามาจากเบราว์เซอร์ของเหยื่อเช่นกัน
สิ่งนี้ทำให้ส่วนขยายสามารถเรียกดูเพจ Facebook ใดๆ ได้อย่างอิสระ รวมถึงการเรียกใช้ API และการดำเนินการต่างๆ โดยใช้เบราว์เซอร์ที่ติดไวรัส และไม่ทิ้งร่องรอยใดๆ ความสะดวกที่ส่วนขยายสามารถหลีกเลี่ยงมาตรการรักษาความปลอดภัยของ Facebook ได้เน้นย้ำถึงความจำเป็นที่แพลตฟอร์มออนไลน์จะต้องระแวดระวังในการตรวจจับและป้องกันกิจกรรมที่เป็นอันตรายดังกล่าว Google ได้ทำการลบส่วนขยายเบราว์เซอร์ 'Quick access to ChatGPT' ที่เป็นอันตรายออกจาก Store ของ Chrome แล้ว
