Browser-Erweiterung „Schnellzugriff auf ChatGPT“ sorgt für Aufsehen
Tausende von Facebook-Konten, einschließlich Geschäftskonten, wurden möglicherweise durch eine ausgeklügelte gefälschte Google Chrome ChatGPT-Browsererweiterung kompromittiert, die bis Anfang dieser Woche im offiziellen Chrome Store verfügbar war.
Die Erweiterung „Quick access to Chat GPT“ wurde von der Sicherheitsfirma Guardio analysiert, die feststellte, dass sie tatsächlich den versprochenen schnellen Zugriff auf den äußerst beliebten KI-Chatbot liefert. Die Erweiterung sammelte jedoch auch eine Reihe von Browserinformationen und Cookies, installierte eine Hintertür und stahl alle autorisierten aktiven Sitzungen. Der Malware-Autor erhielt Super-Admin-Berechtigungen für das Facebook-Konto des Benutzers. Bedrohungsakteure nutzen das öffentliche Interesse an ChatGPT, um Malware auf verschiedene Weise zu verbreiten, einschließlich der Einrichtung einer gefälschten Zielseite, auf der Benutzer den Trojaner Fobo herunterladen können, und die Verwendung von ChatGPT-Phishing-E-Mails und gefälschten Apps zur Verbreitung von Windows- und Android-Malware.
Die Analyse von Guardio zeigte, dass die schädliche Erweiterung eine vollständige Liste aller im Browser des Benutzers gespeicherten Cookies gesammelt hat, einschließlich Sicherheits- und Sitzungstoken für Google, Twitter und YouTube sowie für alle anderen aktiven Dienste. Die Erweiterung griff auch auf die Meta Graph-API für Entwickler zu und gab ihr die Möglichkeit, alle mit dem Facebook-Konto des Benutzers verbundenen Daten zu sammeln und eine Vielzahl von Aktionen im Namen des Benutzers durchzuführen.
Darüber hinaus ermöglichte eine Komponente im Erweiterungscode die Entführung des Facebook-Kontos des Benutzers durch die Registrierung einer betrügerischen App auf dem Konto des Benutzers, wodurch der Angreifer im Wesentlichen den vollständigen Administratormodus auf dem Facebook-Konto des Opfers erhält, ohne Passwörter ernten oder Facebooks Zwei- Faktor Authentifizierung.
Die Erweiterung zielte auf Facebook-Geschäftskonten für eine „Bot-Armee“ ab und sammelte alle Informationen zu diesem Konto, einschließlich aktuell aktiver Werbeaktionen, Guthaben, Währung, Mindestabrechnungsschwelle und ob dem Konto möglicherweise eine Kreditfazilität zugeordnet ist. Dies ist ein Beispiel für die vielen Möglichkeiten, wie Bedrohungsakteure Unternehmen und Organisationen angegriffen haben, um Zugang zu ihren sensiblen Daten zu erhalten, die für weitere Angriffe verwendet oder im Darknet verkauft werden können.
