MKD-CIRT National Centre for Computer Incident Response
Тројанизираната верзија на легитимната ChatGPT екстензија за Chrome стана популарна на Chrome Web Store, собирајќи над 9.000 преземања додека ги краде Facebook сметките.
Наставката е копија на легитимниот популарен додаток за Chrome наречен „ChatGPT за Google“ кој нуди ChatGPT интеграција во резултатите од пребарувањето. Сепак, оваа малициозна верзија вклучува дополнителен код кој се обидува да украде колачиња од Facebook сесијата.
Издавачот на екстензијата ја прикачи на Chrome Web Store на 14 февруари 2023 година, но почна да ја промовира со помош на Google Search реклами на 14 март 2023 година. Оттогаш, просечно има илјада инсталации дневно.
Истражувачот што го откри, Nati Tal од Guardio Labs, известува дека екстензијата комуницира со истата инфраструктура што претходно овој месец ја користеше сличен додаток на Chrome кој собра 4.000 инсталации пред Google да го отстрани од Chrome Web Store.
Оваа нова варијанта се смета за дел од истата кампања, која хакерите ја чуваа како резервна копија на Chrome Web Store за кога ќе биде пријавена и отстранета првата екстензија.
Малициозната екстензија се промовира преку реклами во Google Search резултатите, кои се истакнати при пребарувањето за „Chat GPT 4“.
Со кликнување на спонзорираните резултати од пребарувањето, корисниците се носат до лажна целна страница „ChatGPT за Google“, а од таму до страницата на екстензијата на официјалната продавница за додатоци на Chrome.
Откако жртвата ќе ја инсталира екстензијата, ја добива ветената функционалност (ChatGPT интеграција во резултатите од пребарувањето) бидејќи кодот на легитимната екстензија сè уште е присутен. Сепак, малициозниот додаток се обидува да украде сесиски колачиња за Facebook сметките.
По инсталацијата на екстензијата, малициозниот код ја користи OnInstalled функцијата за да украде Facebook сесиски колачиња.
Овие украдени колачиња им овозможуваат на хакерите да се најават на Facebook сметката како корисник и да добијат целосен пристап до нивните профили, вклучувајќи ги и сите функции за деловно рекламирање.
Малициозниот софтвер го злоупотребува API-то на Chrome Extension за да добие листа на колачиња поврзани со Facebook и ги шифрира со помош на AES клуч. Потоа ги ексфилтрира украдените податоци преку GET барање до серверот на хакерот.
„Списокот на колачиња е шифриран со AES и е прикачен на вредноста на заглавјето на X-Cached-Key HTTP“, се објаснува во извештајот на Guardio Labs.
„Оваа техника се користи за да се украдат колачињата без никакви DPI (Deep Packet Inspection) механизми кои предизвикуваат предупредување“.
Хакерите потоа ги дешифрираат украдените колачиња за да ги украдат Facebook сесиите на нивните жртви за погрешни кампањи или да промовираат забранет материјал како ISIS пропагандата.
Малициозниот софтвер автоматски ги менува деталите за најавување на пробиените сметки за да ги спречи жртвите да ја вратат контролата врз нивните Facebook сметки.
Исто така, ги менува името и сликата на профилот со лажна личност по име „Lilly Collins“.
Во моментов, малициозната екстензија на Google Chrome сè уште е присутна во Google Chrome Web Store.
Безбедносниот истражувач ја пријави малициозната екстензија до тимот на Chrome Web Store, која најверојатно ќе биде отстранета наскоро.
За жал, врз основа на претходната историја, хакерите веројатно имаат план „C“ преку друга екстензија што може да го олесни следниот бран на инфекција.
BleepingComputer контактираше со Google со дополнителни прашања во врска со екстензијата, но одговор не беше веднаш достапен.
Извор: BleepingComputer
