'ChatGPT'ye hızlı erişim' Tarayıcı Uzantısı
Analiz, "ChatGPT'ye Hızlı Erişim" adlı sahte bir Chrome tarayıcı uzantısının, bir tehdit aktörü tarafından ticari hesaplar da dahil olmak üzere binlerce Facebook hesabının güvenliğini aşmak için kullanıldığını ortaya çıkardı. Uzantı daha önce Google'ın resmi Chrome Mağazasında mevcuttu. Bu uzantının, kullanıcılara popüler AI sohbet robotu ChatGPT ile etkileşim kurmanın uygun bir yolunu sunduğu iddia edildi. Ancak gerçekte, kurbanın tarayıcısından çok çeşitli bilgiler toplamak ve yetkili tüm aktif oturumların çerezlerini çalmak için tasarlanmıştır. Uzantı ayrıca kötü amaçlı yazılım yazarına kullanıcının Facebook hesabına süper yönetici izinleri veren bir arka kapı da yükledi. Kötü amaçlı uzantıyla ilgili ayrıntılar, Guardio Labs araştırmacıları tarafından hazırlanan bir raporda yayınlandı.
'ChatGPT'ye hızlı erişim' tarayıcı uzantısının kullanımı, tehdit aktörlerinin kötü amaçlı yazılım dağıtmak ve sistemlere sızmak için ChatGPT'ye olan yaygın ilgiden nasıl yararlanmaya çalıştıklarının yalnızca bir örneğidir. Sahte uzantının arkasındaki tehdit aktörü, kullanıcıları uzantıyı yüklemeleri için kandırmak için karmaşık taktikler kullandı; bu da kullanıcıların internetten tarayıcı uzantılarını ve diğer yazılımları indirirken dikkatli olmaları gerektiğini vurguluyor.
'ChatGPT'ye hızlı erişim' Tarayıcı Uzantısı, Hassas Facebook Bilgilerini Topluyor
Kötü amaçlı 'ChatGPT'ye hızlı erişim' tarayıcı uzantısı, söz verildiği gibi API'sine bağlanarak ChatGPT sohbet robotuna erişim sağladı. Bununla birlikte, uzantı, Google, Twitter ve YouTube gibi çeşitli hizmetler ve diğer tüm aktif hizmetler için güvenlik ve oturum belirteçleri dahil olmak üzere, kullanıcının tarayıcısında saklanan çerezlerin tam bir listesini de topladı.
Kullanıcının Facebook'ta etkin, kimliği doğrulanmış bir oturumu olduğu durumlarda, uzantı, geliştiriciler için Graph API'ye erişti ve bu, kullanıcının Facebook hesabıyla ilişkili tüm verileri toplamasına izin verdi. Daha da endişe verici olanı, uzantı kodundaki bir bileşen, tehdit aktörünün kurbanın hesabına sahte bir uygulama kaydederek ve Facebook'u onaylatarak kullanıcının Facebook hesabını ele geçirmesini sağladı.
Tehdit aktörü, kullanıcının hesabına bir uygulama kaydettirerek, parola toplamak veya Facebook'un iki faktörlü kimlik doğrulamasını atlamaya çalışmak zorunda kalmadan kurbanın Facebook hesabında tam yönetici modu elde etti. Uzantı bir Business Facebook hesabıyla karşılaşırsa, şu anda aktif promosyonlar, kredi bakiyesi, para birimi, minimum faturalandırma eşiği ve hesabın kendisiyle ilişkilendirilmiş bir kredi olanağı olup olmadığı dahil olmak üzere o hesapla ilgili tüm bilgileri toplar. Uzantı daha sonra toplanan tüm verileri inceler, hazırlar ve alaka düzeyine ve veri türüne dayalı API çağrılarını kullanarak Komuta ve Kontrol (C2, C&C) sunucusuna geri gönderir.
Bu bulgular, internet kullanıcılarının, özellikle popüler hizmetlere hızlı erişim vaat eden tarayıcı uzantılarını yüklerken dikkatli olmaları gerektiğinin altını çiziyor. Ayrıca, yüklü uzantı listelerini düzenli olarak gözden geçirmeli ve artık ihtiyaç duyulmayan veya davranışı şüpheli olan uzantıları kaldırmalıdırlar.
Tehdit Aktörleri Toplanan Bilgileri Satmaya Çalışabilir
Araştırmacılara göre, 'ChatGPT'ye hızlı erişim' tarayıcı uzantısının arkasındaki tehdit aktörü, kampanyadan topladığı bilgileri büyük olasılıkla en yüksek teklifi verene satacak. Alternatif olarak, siber suçlular, ele geçirilen Facebook Business hesaplarını, kurbanların hesaplarını kullanarak kötü amaçlı reklamlar yayınlamak için kullanabilecekleri bir bot ordusu oluşturmak için kullanmayı deneyebilir.
Kötü amaçlı yazılım, API'lerine erişim isteklerini işlerken Facebook'un güvenlik önlemlerini atlamak için mekanizmalarla donatılmıştır. Örneğin, Facebook, Meta Graph API aracılığıyla erişim izni vermeden önce, isteğin kimliği doğrulanmış bir kullanıcıdan ve güvenilir bir kaynaktan geldiğini doğrular. Bu önlemi atlatmak için tehdit aktörü, kurbanın tarayıcısından Facebook web sitesine yapılan tüm isteklerin başlıklarının değiştirilmiş olmasını ve böylece kurbanın tarayıcısından geliyormuş gibi görünmesini sağlayan kötü amaçlı tarayıcı uzantısına bir kod ekledi.
Bu, uzantıya API çağrıları ve eylemleri yapma, virüslü tarayıcıyı kullanma ve herhangi bir iz bırakmadan herhangi bir Facebook sayfasına serbestçe göz atma yeteneği verir. Uzantının Facebook'un güvenlik önlemlerini kolayca atlatabilmesi, çevrimiçi platformların bu tür kötü niyetli etkinlikleri tespit etme ve önleme konusunda tetikte olması gerektiğinin altını çiziyor. Kötü amaçlı 'ChatGPT'ye hızlı erişim' tarayıcı uzantısı, o zamandan beri Google tarafından Chrome mağazasından kaldırıldı.
