'Mabilis na access sa ChatGPT' Browser Extension
Ibinunyag ng pagsusuri na ang isang pekeng extension ng browser ng Chrome na tinatawag na 'Mabilis na pag-access sa ChatGPT' ay ginamit ng isang banta ng aktor upang ikompromiso ang libu-libong Facebook account, kabilang ang mga account sa negosyo. Ang extension ay dating available sa opisyal na Chrome Store ng Google. Inaangkin ng extension na ito na nag-aalok sa mga user ng maginhawang paraan upang makipag-ugnayan sa sikat na AI chatbot ChatGPT. Gayunpaman, sa katotohanan, idinisenyo ito upang mangolekta ng malawak na hanay ng impormasyon mula sa browser ng biktima at magnakaw ng cookies ng lahat ng awtorisadong aktibong session. Nag-install din ang extension ng backdoor na nagbigay ng super-admin na pahintulot sa may-akda ng malware sa Facebook account ng user. Ang mga detalye tungkol sa malisyosong extension ay inilabas sa isang ulat ng mga mananaliksik sa Guardio Labs.
Ang paggamit ng extension ng browser na 'Mabilis na pag-access sa ChatGPT' ay isang halimbawa lamang ng kung paano sinusubukan ng mga banta ng aktor na samantalahin ang malawakang interes sa ChatGPT upang ipamahagi ang malware at makalusot sa mga system. Ang banta ng aktor sa likod ng pekeng extension ay gumamit ng mga sopistikadong taktika upang linlangin ang mga user sa pag-install ng extension, na nagha-highlight sa pangangailangan ng mga user na maging mapagbantay kapag nagda-download ng mga extension ng browser at iba pang software mula sa internet.
Ang 'Mabilis na access sa ChatGPT' Browser Extension ay Nangongolekta ng Sensitibong Impormasyon sa Facebook
Ang malisyosong 'Mabilis na pag-access sa ChatGPT' na extension ng browser ay nagbigay ng access sa ChatGPT chatbot sa pamamagitan ng pagkonekta sa API nito, gaya ng ipinangako. Gayunpaman, nakakuha din ang extension ng kumpletong listahan ng cookies na nakaimbak sa browser ng user, kabilang ang mga token ng seguridad at session para sa iba't ibang serbisyo tulad ng Google, Twitter, at YouTube, at anumang iba pang aktibong serbisyo.
Sa mga kaso kung saan ang user ay nagkaroon ng aktibong na-authenticate na session sa Facebook, na-access ng extension ang Graph API para sa mga developer, na nagbigay-daan dito na ma-harvest ang lahat ng data na nauugnay sa Facebook account ng user. Ang mas nakakaalarma, isang bahagi sa extension code ang nagbigay-daan sa threat actor na i-hijack ang Facebook account ng user sa pamamagitan ng pagrehistro ng rogue app sa account ng biktima at pagkuha ng Facebook na aprubahan ito.
Sa pamamagitan ng pagrehistro ng app sa account ng user, nakuha ng threat actor ang full admin mode sa Facebook account ng biktima nang hindi kinakailangang mag-harvest ng mga password o subukang i-bypass ang two-factor authentication ng Facebook. Kung nakatagpo ang extension ng Business Facebook account, aanihin nito ang lahat ng impormasyong nauugnay sa account na iyon, kabilang ang kasalukuyang aktibong promosyon, balanse ng credit, currency, minimum na limitasyon ng pagsingil, at kung ang account ay may credit facility na nauugnay dito. Susuriin ng extension ang lahat ng na-harvest na data, ihahanda ito, at ipapadala ito pabalik sa Command-and-Control (C2, C&C) server gamit ang mga API call batay sa kaugnayan at uri ng data.
Ang mga natuklasang ito ay binibigyang-diin ang pangangailangan para sa mga gumagamit ng internet na maging maingat kapag nag-i-install ng mga extension ng browser, lalo na ang mga nangangako ng mabilis na pag-access sa mga sikat na serbisyo. Dapat din nilang regular na suriin ang kanilang listahan ng mga naka-install na extension at alisin ang anumang hindi na kailangan o may kaduda-dudang gawi.
Maaaring Ipagbili ng Mga Aktor ng Banta ang Nakolektang Impormasyon
Ayon sa mga mananaliksik, ang banta ng aktor sa likod ng extension ng browser na 'Mabilis na pag-access sa ChatGPT' ay malamang na ibenta ang impormasyong naani nito mula sa kampanya sa pinakamataas na bidder. Bilang kahalili, maaaring subukan ng mga cybercriminal na gamitin ang mga na-hijack na Facebook Business account upang lumikha ng isang bot army, na maaari nilang gamitin upang mag-post ng mga nakakahamak na ad gamit ang mga account ng mga biktima.
Ang malware ay nilagyan ng mga mekanismo para sa pag-bypass sa mga hakbang sa seguridad ng Facebook kapag pinangangasiwaan ang mga kahilingan sa pag-access sa mga API nito. Halimbawa, bago magbigay ng access sa pamamagitan ng Meta Graph API nito, ibe-verify muna ng Facebook na ang kahilingan ay mula sa isang napatotohanang user at pinagkakatiwalaang pinagmulan. Upang iwasan ang pag-iingat na ito, isinama ng threat actor ang code sa malisyosong browser extension na nagsisigurong lahat ng kahilingan sa Facebook website mula sa browser ng biktima ay binago ang kanilang mga header, kaya lumilitaw na nagmula rin ang mga ito sa browser ng biktima.
Nagbibigay ito sa extension ng kakayahang malayang mag-browse ng anumang pahina sa Facebook, kabilang ang paggawa ng mga tawag at pagkilos sa API, gamit ang nahawaang browser, at nang hindi nag-iiwan ng anumang bakas. Ang kadalian ng extension ay maaaring iwasan ang mga hakbang sa seguridad ng Facebook ay binibigyang-diin ang pangangailangan para sa mga online na platform na maging mapagbantay sa pag-detect at pagpigil sa naturang malisyosong aktibidad. Ang malisyosong 'Mabilis na pag-access sa ChatGPT' na extension ng browser ay inalis na ng Google mula sa tindahan ng Chrome.
