“快速訪問 ChatGPT”瀏覽器擴展
分析顯示,一個名為“Quick access to ChatGPT”的假冒 Chrome 瀏覽器擴展程序已被威脅行為者用來破壞數以千計的 Facebook 帳戶,包括商業帳戶。該擴展程序之前可在 Google 的官方 Chrome 商店中使用。此擴展程序聲稱為用戶提供了一種與流行的人工智能聊天機器人 ChatGPT 進行交互的便捷方式。然而,實際上,它旨在從受害者的瀏覽器收集範圍廣泛的信息並竊取所有授權活動會話的 cookie。該擴展程序還安裝了一個後門,該後門為惡意軟件作者提供了對用戶 Facebook 帳戶的超級管理員權限。 Guardio Labs 的研究人員在一份報告中發布了有關惡意擴展的詳細信息。
使用“快速訪問 ChatGPT”瀏覽器擴展只是威脅行為者如何試圖利用人們對 ChatGPT 的廣泛興趣來分發惡意軟件和滲透系統的一個例子。虛假擴展背後的威脅行為者使用複雜的策略來欺騙用戶安裝該擴展,這凸顯了用戶在從 Internet 下載瀏覽器擴展和其他軟件時保持警惕的必要性。
“快速訪問 ChatGPT”瀏覽器擴展程序收集敏感的 Facebook 信息
正如承諾的那樣,惡意的“快速訪問 ChatGPT”瀏覽器擴展確實通過連接到其 API 提供了對 ChatGPT 聊天機器人的訪問。然而,該擴展程序還收集了存儲在用戶瀏覽器中的完整 cookie 列表,包括各種服務(如 Google、Twitter 和 YouTube)以及任何其他活動服務的安全和會話令牌。
如果用戶在 Facebook 上有一個活動的經過身份驗證的會話,該擴展程序會訪問開發人員的 Graph API,這允許它收集與用戶的 Facebook 帳戶關聯的所有數據。更令人擔憂的是,擴展代碼中的一個組件使威脅行為者能夠通過在受害者帳戶上註冊流氓應用程序並獲得 Facebook 批准來劫持用戶的 Facebook 帳戶。
通過在用戶帳戶上註冊一個應用程序,威脅行為者在受害者的 Facebook 帳戶上獲得了完全管理模式,而無需收集密碼或嘗試繞過 Facebook 的雙因素身份驗證。如果擴展程序遇到 Business Facebook 帳戶,它將收集與該帳戶相關的所有信息,包括當前活動的促銷、信用餘額、貨幣、最低賬單門檻以及該帳戶是否有與之關聯的信用額度。然後,擴展將檢查所有收集到的數據,準備數據,並使用基於相關性和數據類型的 API 調用將其發送回命令和控制(C2、C&C)服務器。
這些發現強調了互聯網用戶在安裝瀏覽器擴展時需要謹慎,尤其是那些承諾快速訪問流行服務的擴展。他們還應該定期檢查已安裝的擴展列表,並刪除不再需要的或有問題的行為。
威脅行為者可能會尋求出售收集到的信息
據研究人員稱,“快速訪問 ChatGPT”瀏覽器擴展程序背後的威脅行為者可能會將其從活動中收集的信息出售給出價最高的人。或者,網絡犯罪分子可能會嘗試使用被劫持的 Facebook Business 帳戶來創建機器人大軍,然後他們可以利用這些機器人大軍使用受害者的帳戶發布惡意廣告。
該惡意軟件配備了在處理對其 API 的訪問請求時繞過 Facebook 安全措施的機制。例如,在通過其 Meta Graph API 授予訪問權限之前,Facebook 首先驗證請求來自經過身份驗證的用戶和可信來源。為了規避這種預防措施,攻擊者在惡意瀏覽器擴展程序中加入了代碼,以確保受害者瀏覽器對 Facebook 網站的所有請求都修改了標頭,因此它們似乎也來自受害者的瀏覽器。
這使該擴展程序能夠自由瀏覽任何 Facebook 頁面,包括進行 API 調用和操作,使用受感染的瀏覽器,並且不會留下任何痕跡。擴展可以輕鬆規避 Facebook 的安全措施,這凸顯了在線平台在檢測和防止此類惡意活動時保持警惕的必要性。惡意的“快速訪問 ChatGPT”瀏覽器擴展程序已被谷歌從 Chrome 商店中刪除。