Розширення для веб-переглядача «Швидкий доступ до ChatGPT».

Аналіз показав, що підроблене розширення браузера Chrome під назвою «Швидкий доступ до ChatGPT» використовувалося зловмисником для компрометації тисяч облікових записів Facebook, у тому числі бізнес-акаунтів. Розширення раніше було доступне в офіційному магазині Chrome від Google. Це розширення стверджувало, що пропонує користувачам зручний спосіб взаємодії з популярним чат-ботом AI ChatGPT. Однак насправді він був розроблений для збору широкого діапазону інформації з браузера жертви та крадіжки файлів cookie всіх авторизованих активних сеансів. Розширення також встановило бекдор, який надавав автору зловмисного програмного забезпечення права суперадміністратора до облікового запису користувача Facebook. Подробиці про шкідливе розширення були оприлюднені у звіті дослідників Guardio Labs.

Використання розширення для браузера «Швидкий доступ до ChatGPT» є лише одним із прикладів того, як зловмисники намагалися використати широкий інтерес до ChatGPT для розповсюдження шкідливого програмного забезпечення та проникнення в системи. Зловмисник, який стоїть за фальшивим розширенням, використовував складну тактику, щоб змусити користувачів встановити розширення, що підкреслює необхідність бути пильними під час завантаження розширень браузера та іншого програмного забезпечення з Інтернету.

Розширення для веб-переглядача «Швидкий доступ до ChatGPT» збирає конфіденційну інформацію Facebook

Шкідливе розширення для браузера «Швидкий доступ до ChatGPT» надавало доступ до чат-бота ChatGPT шляхом підключення до його API, як і було обіцяно. Однак розширення також зібрало повний список файлів cookie, які зберігаються в браузері користувача, включаючи маркери безпеки та сеанси для різних служб, таких як Google, Twitter і YouTube, і будь-яких інших активних служб.

У випадках, коли користувач мав активну автентифіковану сесію на Facebook, розширення отримувало доступ до Graph API для розробників, що дозволяло збирати всі дані, пов’язані з обліковим записом користувача Facebook. Ще більш тривожним є те, що компонент у коді розширення дозволив зловмиснику захопити обліковий запис користувача у Facebook, зареєструвавши шахрайську програму в обліковому записі жертви та отримавши дозвіл Facebook.

Зареєструвавши програму в обліковому записі користувача, зловмисник отримав повний режим адміністратора в обліковому записі жертви у Facebook без необхідності збирати паролі або намагатися обійти двофакторну автентифікацію Facebook. Якщо розширення виявить бізнес-акаунт Facebook, воно зібере всю інформацію, пов’язану з цим обліковим записом, включаючи поточні активні рекламні акції, кредитний баланс, валюту, мінімальний поріг рахунка та наявність кредитної лінії, пов’язаної з обліковим записом. Потім розширення перевірить усі зібрані дані, підготує їх і надішле назад на сервер командування та управління (C2, C&C) за допомогою викликів API на основі релевантності та типу даних.

Ці висновки підкреслюють необхідність для користувачів Інтернету бути обережними при встановленні розширень для браузера, особливо тих, які обіцяють швидкий доступ до популярних сервісів. Вони також повинні регулярно переглядати свій список встановлених розширень і видаляти всі, які більше не потрібні або мають сумнівну поведінку.

Зловмисники можуть прагнути продати зібрану інформацію

На думку дослідників, загроза, що стоїть за розширенням для браузера «Швидкий доступ до ChatGPT», швидше за все, продасть інформацію, яку він зібрав із кампанії, тому, хто запропонує найвищу ціну. Крім того, кіберзлочинці можуть спробувати використати викрадені облікові записи Facebook Business для створення армії ботів, які потім можуть використовувати для розміщення шкідливих оголошень, використовуючи облікові записи жертв.

Зловмисне програмне забезпечення оснащене механізмами для обходу заходів безпеки Facebook під час обробки запитів на доступ до його API. Наприклад, перш ніж надати доступ через свій Meta Graph API, Facebook спочатку перевіряє, що запит надійшов від автентифікованого користувача та надійного джерела. Щоб обійти цей запобіжний захід, зловмисник включив код у зловмисне розширення браузера, який гарантував, що заголовки всіх запитів до веб-сайту Facebook із браузера жертви змінювалися, тож, здавалося, вони також надходили з браузера жертви.

Це дає розширенню можливість вільно переглядати будь-яку сторінку Facebook, включно з викликами та діями API, використовуючи заражений браузер, не залишаючи жодних слідів. Легкість, з якою розширення могло обійти заходи безпеки Facebook, підкреслює необхідність для онлайн-платформ бути пильними у виявленні та запобіганні такій шкідливій діяльності. Згодом Google видалив з магазину Chrome шкідливе розширення браузера «Швидкий доступ до ChatGPT».