Zespó? Bitdefender niedawno zauwa?y? cyberprzest?pców kradn?cych konta na Facebooku przy u?yciu z?o?liwej wersji legalnego rozszerzenia przegl?darki ChatGPT dost?pnego w Chrome Web Store. Nieuczciwe rozszerzenie, nazwane „ChatGPT for Google”, zosta?o pobrane ponad 9 000 razy w dedykowanym sklepie internetowym przegl?darki.
Chocia? to fa?szywe rozszerzenie reklamuje si? jako narz?dzie integruj?ce ChatGPT z wynikami wyszukiwania przegl?darki, to niestety mo?e tak?e s?u?y? do kradzie?y sesyjnych plików cookie Facebooka.
Hakerzy rozpowszechniaj? rozszerzenie Rogue ChatGPT Chrome
Hakerzy zacz?li reklamowa? fa?szywe rozszerzenie do ChatGPT 14 marca (miesi?c po dacie jego publikacji) za pomoc? reklam w wyszukiwarce Google. Podobno wyszukiwanie „Chat GPT 4”, „ChatGPT 4” lub podobnych odmian s?ów kluczowych powodowa?o wy?wietlanie u?ytkownikom sponsorowanych wyników prowadz?cych do tego z?o?liwego narz?dzia.
Klikni?cie w polecane linki przenosi?o internautów do nieuczciwej strony docelowej reklamuj?cej „ChatGPT dla Google”. Dalsze pod??anie t? ?cie?k? prowadzi?o ich do „oficjalnej” strony rozszerzenia w sklepie internetowym Chrome.
Aby unikn?? dodatkowych podejrze?, hakerzy za??czyli z?o?liwy kod, dzi?ki któremu mogli kra?? pliki cookie, u?ywaj?c prawid?owego kodu rozszerzenia. Innymi s?owy internauci nadal mogli z niego korzysta?, co odwraca?o ich uwag? od ukrytego celu narz?dzia.
Po instalacji rozszerzenie wykorzystuje funkcj? obs?ugi do zbierania plików cookie sesji Facebooka. Nast?pnie szyfruje je kluczem AES i eksfiltruje dane na serwer atakuj?cego za pomoc? ??dania GET.
Hakerzy przejmuj? konta na Facebooku
Po odszyfrowaniu skradzionych plików cookie cyberprzest?pcy mog? ich u?y? do zalogowania si? na konta ofiar na Facebooku z pe?nymi prawami w?asno?ci. Jak donosi BleepingComputer, sprawcy wykorzystuj? przej?te konta do prowadzenia z?o?liwych kampanii i rozpowszechniania zakazanych materia?ów, takich jak propaganda ISIS.
Z?o?liwe rozszerzenie posiada równie? prymitywny mechanizm trwa?o?ci, aby uniemo?liwi? ofiarom odzyskanie kont. Po ich przej?ciu narz?dzie automatycznie zmienia dane do logowania i nazwy profili, nast?pnie ustawia zdj?cie profilowe tak, aby pasowa?o do fa?szywego u?ytkownika o nazwie „Lilly Collins”.
Na szcz??cie rozszerzenie zosta?o usuni?te z Chrome Web Store. Jednak eksperci ds. bezpiecze?stwa uwa?aj?, ?e cyberprzest?pcy mog? mie? plan tworzenia kopii zapasowych w postaci u?pionego, równie z?o?liwego rozszerzenia.
„Hakerzy cz?sto wykorzystuj? rozszerzenia do przegl?darek, ?eby infekowa? urz?dzenia u?ytkowników Internetu. W tym celu podszywaj? si? pod popularne aplikacje, takie jak ChatGPT, aby sk?oni? jak najwi?cej internautów do pobrania niebezpiecznego pliku. Co ciekawe, bardzo cz?sto sfa?szowane rozszerzenia faktycznie spe?niaj? swoje funkcje, jednak jednocze?nie pobieraj? i wysy?aj? hakerowi informacje dotycz?ce naszej aktywno?ci w sieci. Dlatego zawsze pami?tajmy o tym, aby zabezpieczy? nasze urz?dzenia za pomoc? skutecznego antywirusa wyposa?onego w odpowiednie modu?y antyphishingowe”
Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender
