Κακόβουλο λογισμικό ενδέχεται να έχει παραβιάσει χιλιάδες λογαριασμούς στο Facebook – συμπεριλαμβανομένων επαγγελματικών λογαριασμών – μέσω μιας εξελιγμένης ψεύτικης επέκτασης του προγράμματος περιήγησης Chrome ChatGPT, η οποία, μέχρι τις αρχές αυτής της εβδομάδας, ήταν διαθέσιμη στο επίσημο Chrome Store της Google.
Σύμφωνα με μια ανάλυσηαπό την Guardio, η κακόβουλη επέκταση “Quick access to Chat GPT” υποσχόταν στους χρήστες έναν γρήγορο τρόπο αλληλεπίδρασης με το εξαιρετικά δημοφιλές AI chatbot. Στην πραγματικότητα, συγκέντρωνε επίσης κρυφά ένα ευρύ φάσμα πληροφοριών από το πρόγραμμα περιήγησης, έκλεβε cookies όλων των εξουσιοδοτημένων ενεργών συνόδων και εγκαθιστούσε μια κερκόπορτα που έδινε στον συγγραφέα του κακόβουλου λογισμικού δικαιώματα υπερ-διαχειριστή στον λογαριασμό του χρήστη στο Facebook.
Η επέκταση προγράμματος περιήγησης Quick access to ChatGPT είναι μόνο ένα παράδειγμα από τους πολλούς τρόπους με τους οποίους οι φορείς απειλών προσπαθούν να εκμεταλλευτούν το τεράστιο ενδιαφέρον του κοινού για το ChatGPT για να διανείμουν κακόβουλο λογισμικό και να διεισδύσουν σε συστήματα. Ένα παράδειγμα είναι ένας αντίπαλος που δημιούργησε μια ψεύτικη σελίδα προορισμού του ChatGPT, όπου οι χρήστες που εξαπατήθηκαν για να “εγγραφούν” κατέληξαν μόνο να κατεβάσουν ένα Trojan που ονομάζεται Fobo. Άλλοι έχουν αναφέρει μια απότομη αύξηση των ηλεκτρονικών μηνυμάτων ηλεκτρονικού ψαρέματος με θέμα το ChatGPT τους τελευταίους μήνες και την αυξανόμενη χρήση ψεύτικων εφαρμογών ChatGPT για τη διάδοση κακόβουλου λογισμικού για Windows και Android.
Στοχεύοντας επιχειρηματικούς λογαριασμούς στο Facebook για έναν “στρατό bot”
Η ανάλυση της Guardio έδειξε ότι η κακόβουλη επέκταση του προγράμματος περιήγησης επέτρεψε στην πραγματικότητα τη γρήγορη πρόσβαση που υποσχόταν στο ChatGPT, απλά με τη σύνδεση στο API του chatbot. Όμως, επιπλέον, η επέκταση συνέλεξε επίσης μια πλήρη λίστα όλων των cookies που είναι αποθηκευμένα στο πρόγραμμα περιήγησης του χρήστη, συμπεριλαμβανομένων των tokens ασφαλείας και συνόδου προς τη Google, το Twitter και το YouTube, καθώς και προς οποιεσδήποτε άλλες ενεργές υπηρεσίες.
Στις περιπτώσεις όπου ο χρήστης μπορεί να είχε ενεργή, πιστοποιημένη συνεδρία στο Facebook, η επέκταση είχε πρόσβαση στο Meta Graph API της Meta για προγραμματιστές. Η πρόσβαση στο API έδωσε στην επέκταση τη δυνατότητα να συλλέξει όλα τα δεδομένα που σχετίζονται με το λογαριασμό του χρήστη στο Facebook και, το πιο ανησυχητικό, να προβεί σε διάφορες ενέργειες εκ μέρους του χρήστη.
Το πιο δυσοίωνο είναι ότι ένα στοιχείο στον κώδικα της επέκτασης επέτρεπε την πειρατεία του λογαριασμού Facebook του χρήστη, ουσιαστικά με την εγγραφή μιας εικονικής εφαρμογής στο λογαριασμό του χρήστη και την έγκρισή της από το Facebook.
“Μια εφαρμογή στο πλαίσιο του οικοσυστήματος του Facebook είναι συνήθως μια υπηρεσία SaaS που εγκρίθηκε να χρησιμοποιεί το ειδικό API του”, εξήγησε ο Guardio. Έτσι, με την εγγραφή μιας εφαρμογής στο λογαριασμό του χρήστη, ο δράστης της απειλής απέκτησε πλήρη λειτουργία διαχειριστή στο λογαριασμό Facebook του θύματος χωρίς να χρειάζεται να συλλέξει κωδικούς πρόσβασης ή να προσπαθήσει να παρακάμψει τον έλεγχο ταυτότητας δύο παραγόντων του Facebook, έγραψε ο προμηθευτής ασφάλειας.