“快速访问 ChatGPT”浏览器扩展
分析显示,一个名为“Quick access to ChatGPT”的假冒 Chrome 浏览器扩展程序已被威胁行为者用来破坏数以千计的 Facebook 帐户,包括商业帐户。该扩展程序之前可在 Google 的官方 Chrome 商店中使用。此扩展程序声称为用户提供了一种与流行的人工智能聊天机器人 ChatGPT 进行交互的便捷方式。然而,实际上,它旨在从受害者的浏览器收集范围广泛的信息并窃取所有授权活动会话的 cookie。该扩展程序还安装了一个后门,该后门为恶意软件作者提供了对用户 Facebook 帐户的超级管理员权限。 Guardio Labs 的研究人员在一份报告中发布了有关恶意扩展的详细信息。
使用“快速访问 ChatGPT”浏览器扩展只是威胁行为者如何试图利用人们对 ChatGPT 的广泛兴趣来分发恶意软件和渗透系统的一个例子。虚假扩展背后的威胁行为者使用复杂的策略来欺骗用户安装该扩展,这凸显了用户在从 Internet 下载浏览器扩展和其他软件时保持警惕的必要性。
“快速访问 ChatGPT”浏览器扩展程序收集敏感的 Facebook 信息
正如承诺的那样,恶意的“快速访问 ChatGPT”浏览器扩展确实通过连接到其 API 提供了对 ChatGPT 聊天机器人的访问。然而,该扩展程序还收集了存储在用户浏览器中的完整 cookie 列表,包括各种服务(如 Google、Twitter 和 YouTube)以及任何其他活动服务的安全和会话令牌。
如果用户在 Facebook 上有一个活动的经过身份验证的会话,该扩展程序会访问开发人员的 Graph API,这允许它收集与用户的 Facebook 帐户关联的所有数据。更令人担忧的是,扩展代码中的一个组件使威胁行为者能够通过在受害者帐户上注册流氓应用程序并获得 Facebook 批准来劫持用户的 Facebook 帐户。
通过在用户帐户上注册一个应用程序,威胁行为者在受害者的 Facebook 帐户上获得了完全管理模式,而无需收集密码或尝试绕过 Facebook 的双因素身份验证。如果扩展程序遇到 Business Facebook 帐户,它将收集与该帐户相关的所有信息,包括当前活动的促销、信用余额、货币、最低账单门槛以及该帐户是否有与之关联的信用额度。然后,扩展将检查所有收集到的数据,准备数据,并使用基于相关性和数据类型的 API 调用将其发送回命令和控制(C2、C&C)服务器。
这些发现强调了互联网用户在安装浏览器扩展时需要谨慎,尤其是那些承诺快速访问流行服务的扩展。他们还应该定期检查已安装的扩展列表,并删除不再需要的或有问题的行为。
威胁行为者可能会寻求出售收集到的信息
据研究人员称,“快速访问 ChatGPT”浏览器扩展程序背后的威胁行为者可能会将其从活动中收集的信息出售给出价最高的人。或者,网络犯罪分子可能会尝试使用被劫持的 Facebook Business 帐户来创建机器人大军,然后他们可以利用这些机器人大军使用受害者的帐户发布恶意广告。
该恶意软件配备了在处理对其 API 的访问请求时绕过 Facebook 安全措施的机制。例如,在通过其 Meta Graph API 授予访问权限之前,Facebook 首先验证请求来自经过身份验证的用户和可信来源。为了规避这种预防措施,攻击者在恶意浏览器扩展程序中加入了代码,以确保受害者浏览器对 Facebook 网站的所有请求都修改了标头,因此它们似乎也来自受害者的浏览器。
这使该扩展程序能够自由浏览任何 Facebook 页面,包括进行 API 调用和操作,使用受感染的浏览器,并且不会留下任何痕迹。扩展可以轻松规避 Facebook 的安全措施,这凸显了在线平台在检测和防止此类恶意活动时保持警惕的必要性。恶意的“快速访问 ChatGPT”浏览器扩展程序已被谷歌从 Chrome 商店中删除。