Браузерное расширение «Быстрый доступ к ChatGPT» вызывает ажиотаж

Тысячи учетных записей Facebook, включая бизнес-аккаунты, могли быть скомпрометированы сложным поддельным расширением браузера Google Chrome ChatGPT, которое было доступно в официальном магазине Chrome до начала этой недели.

Расширение «Быстрый доступ к чату GPT» было проанализировано охранной фирмой Guardio, которая обнаружила, что на самом деле оно обеспечивает быстрый доступ к чрезвычайно популярному чат-боту с искусственным интеллектом. Однако расширение также собирало информацию о браузере и файлы cookie, устанавливало бэкдор и похищало все авторизованные активные сеансы. Автор вредоносного ПО получил права суперадминистратора на учетную запись пользователя Facebook. Злоумышленники используют общественный интерес к ChatGPT для распространения вредоносных программ различными способами, включая создание поддельной целевой страницы для загрузки пользователями троянца Fobo, а также использование тематических фишинговых электронных писем и поддельных приложений ChatGPT для распространения вредоносных программ для Windows и Android.

Анализ Guardio показал, что вредоносное расширение собрало полный список всех файлов cookie, хранящихся в браузере пользователя, включая токены безопасности и сеанса для Google, Twitter и YouTube, а также для любых других активных сервисов. Расширение также получило доступ к Meta Graph API для разработчиков, что дало ему возможность собирать все данные, связанные с учетной записью пользователя Facebook, и выполнять различные действия от имени пользователя.

Кроме того, компонент в коде расширения позволял захватить учетную запись пользователя Facebook путем регистрации мошеннического приложения в учетной записи пользователя, по сути предоставляя злоумышленнику полный режим администратора в учетной записи Facebook жертвы без необходимости собирать пароли или обходить два- факторная аутентификация.

Расширение предназначалось для бизнес-аккаунтов Facebook для «армии ботов», собирая всю информацию, относящуюся к этой учетной записи, включая текущие рекламные акции, кредитный баланс, валюту, минимальный порог выставления счетов и информацию о том, может ли учетная запись иметь связанную с ней кредитную линию. Это один из многих способов, которыми злоумышленники нацеливаются на предприятия и организации, чтобы получить доступ к их конфиденциальным данным, которые могут быть использованы для дальнейших атак или проданы в даркнете.