L'estensione del browser "Accesso rapido a ChatGPT" provoca scalpore
Migliaia di account Facebook, inclusi account aziendali, potrebbero essere stati compromessi da una sofisticata estensione del browser Google Chrome ChatGPT falsa che era disponibile sul Chrome Store ufficiale fino all'inizio di questa settimana.
L'estensione "Accesso rapido alla chat GPT" è stata analizzata dalla società di sicurezza Guardio, che ha scoperto che stava effettivamente fornendo l'accesso rapido promesso al popolarissimo chatbot AI. Tuttavia, l'estensione ha anche raccolto una serie di informazioni sul browser e cookie, ha installato una backdoor e ha rubato tutte le sessioni attive autorizzate. All'autore del malware sono state concesse autorizzazioni di super amministratore per l'account Facebook dell'utente. Gli attori delle minacce hanno sfruttato l'interesse pubblico per ChatGPT per distribuire malware in vari modi, tra cui la creazione di una pagina di destinazione falsa per consentire agli utenti di scaricare il Trojan Fobo e l'utilizzo di e-mail di phishing a tema ChatGPT e app false per diffondere malware Windows e Android.
L'analisi di Guardio ha mostrato che l'estensione dannosa ha raccolto un elenco completo di tutti i cookie memorizzati nel browser dell'utente, inclusi i token di sicurezza e di sessione per Google, Twitter e YouTube e per qualsiasi altro servizio attivo. L'estensione accedeva anche all'API Meta Graph per gli sviluppatori, dandogli la possibilità di raccogliere tutti i dati associati all'account Facebook dell'utente e intraprendere una serie di azioni per conto dell'utente.
Inoltre, un componente nel codice dell'estensione consentiva il dirottamento dell'account Facebook dell'utente registrando un'app non autorizzata sull'account dell'utente, fornendo essenzialmente all'autore della minaccia la modalità di amministratore completa sull'account Facebook della vittima senza dover raccogliere password o aggirare i due- autenticazione del fattore.
L'estensione ha preso di mira gli account aziendali di Facebook per un "esercito di bot", raccogliendo tutte le informazioni relative a quell'account, comprese le promozioni attualmente attive, il saldo del credito, la valuta, la soglia minima di fatturazione e se l'account potrebbe avere una linea di credito associata. Questo è un esempio dei molti modi in cui gli attori delle minacce hanno preso di mira aziende e organizzazioni per ottenere l'accesso ai loro dati sensibili, che possono essere utilizzati per ulteriori attacchi o venduti sul dark web.