Rozszerzenie przeglądarki „Szybki dostęp do ChatGPT” powoduje zamieszanie
Tysiące kont na Facebooku, w tym kont firmowych, mogło zostać przejętych przez wyrafinowane fałszywe rozszerzenie przeglądarki Google Chrome ChatGPT, które było dostępne w oficjalnym sklepie Chrome do początku tego tygodnia.
Rozszerzenie „Szybki dostęp do czatu GPT” zostało przeanalizowane przez firmę zajmującą się bezpieczeństwem Guardio, która odkryła, że w rzeczywistości zapewnia ono obiecany szybki dostęp do niezwykle popularnego chatbota AI. Jednak rozszerzenie zbierało również szereg informacji o przeglądarce i plikach cookie, instalowało backdoora i kradło wszystkie autoryzowane aktywne sesje. Autor złośliwego oprogramowania otrzymał uprawnienia superadministratora do konta użytkownika na Facebooku. Aktorzy zagrażający wykorzystują zainteresowanie opinii publicznej ChatGPT do dystrybucji złośliwego oprogramowania na różne sposoby, w tym tworzenie fałszywej strony docelowej umożliwiającej użytkownikom pobranie trojana Fobo oraz wykorzystywanie e-maili phishingowych o tematyce ChatGPT i fałszywych aplikacji do rozprzestrzeniania złośliwego oprogramowania dla systemów Windows i Android.
Analiza Guardio wykazała, że złośliwe rozszerzenie zebrało pełną listę wszystkich plików cookie przechowywanych w przeglądarce użytkownika, w tym tokeny bezpieczeństwa i sesji do Google, Twittera i YouTube oraz do innych aktywnych usług. Rozszerzenie uzyskało również dostęp do API Meta Graph dla programistów, dając mu możliwość zbierania wszystkich danych powiązanych z kontem użytkownika na Facebooku i podejmowania różnych działań w imieniu użytkownika.
Ponadto komponent w kodzie rozszerzenia umożliwiał przejęcie konta użytkownika na Facebooku poprzez rejestrację nieuczciwej aplikacji na koncie użytkownika, zasadniczo dając aktorowi atakującemu pełny tryb administratora na koncie ofiary na Facebooku bez konieczności zbierania haseł lub omijania dwóch uwierzytelnianie czynnikowe.
Rozszerzenie dotyczyło kont biznesowych Facebooka w celu „armii botów”, zbierając wszystkie informacje dotyczące tego konta, w tym aktualnie aktywne promocje, saldo kredytu, walutę, minimalny próg rozliczeniowy oraz to, czy konto może mieć powiązany kredyt. Jest to jeden z wielu sposobów, w jakie cyberprzestępcy atakują firmy i organizacje w celu uzyskania dostępu do ich poufnych danych, które można wykorzystać do dalszych ataków lub sprzedać w ciemnej sieci.