Browsererweiterung „Schnellzugriff auf ChatGPT“.
Analysen haben ergeben, dass eine gefälschte Chrome-Browsererweiterung namens „Schnellzugriff auf ChatGPT“ von einem Angreifer verwendet wurde, um Tausende von Facebook-Konten, einschließlich Geschäftskonten, zu kompromittieren. Die Erweiterung war zuvor im offiziellen Chrome Store von Google verfügbar. Diese Erweiterung soll Benutzern eine bequeme Möglichkeit bieten, mit dem beliebten KI-Chatbot ChatGPT zu interagieren. In Wirklichkeit wurde es jedoch entwickelt, um eine Vielzahl von Informationen aus dem Browser des Opfers zu sammeln und Cookies aller autorisierten aktiven Sitzungen zu stehlen. Die Erweiterung installierte auch eine Hintertür, die dem Malware-Autor Super-Admin-Berechtigungen für das Facebook-Konto des Benutzers gab. Details über die bösartige Erweiterung wurden in einem Bericht der Forscher von Guardio Labs veröffentlicht.
Die Verwendung der Browsererweiterung „Quick access to ChatGPT“ ist nur ein Beispiel dafür, wie Angreifer versucht haben, das weit verbreitete Interesse an ChatGPT auszunutzen, um Malware zu verbreiten und Systeme zu infiltrieren. Der Bedrohungsakteur hinter der gefälschten Erweiterung verwendete ausgeklügelte Taktiken, um Benutzer zur Installation der Erweiterung zu verleiten, was die Notwendigkeit für Benutzer unterstreicht, beim Herunterladen von Browsererweiterungen und anderer Software aus dem Internet wachsam zu sein.
Die Browsererweiterung „Schnellzugriff auf ChatGPT“ sammelt vertrauliche Facebook-Informationen
Die bösartige Browsererweiterung „Schnellzugriff auf ChatGPT“ ermöglichte wie versprochen den Zugriff auf den ChatGPT-Chatbot, indem sie sich mit seiner API verband. Die Erweiterung sammelte jedoch auch eine vollständige Liste von Cookies, die im Browser des Benutzers gespeichert sind, einschließlich Sicherheits- und Sitzungstoken für verschiedene Dienste wie Google, Twitter und YouTube sowie alle anderen aktiven Dienste.
In Fällen, in denen der Benutzer eine aktive authentifizierte Sitzung auf Facebook hatte, griff die Erweiterung auf die Graph-API für Entwickler zu, wodurch alle mit dem Facebook-Konto des Benutzers verbundenen Daten gesammelt werden konnten. Noch alarmierender ist, dass eine Komponente im Erweiterungscode es dem Angreifer ermöglichte, das Facebook-Konto des Benutzers zu kapern, indem er eine betrügerische App auf dem Konto des Opfers registrierte und Facebook dazu brachte, sie zu genehmigen.
Durch die Registrierung einer App auf dem Konto des Benutzers erlangte der Bedrohungsakteur den vollständigen Administratormodus auf dem Facebook-Konto des Opfers, ohne Passwörter sammeln oder versuchen zu müssen, die Zwei-Faktor-Authentifizierung von Facebook zu umgehen. Wenn die Erweiterung auf ein Business-Facebook-Konto stößt, sammelt sie alle Informationen zu diesem Konto, einschließlich derzeit aktiver Werbeaktionen, Guthaben, Währung, Mindestabrechnungsschwelle und ob mit dem Konto eine Kreditfazilität verbunden ist. Die Erweiterung untersucht dann alle gesammelten Daten, bereitet sie auf und sendet sie mithilfe von API-Aufrufen basierend auf Relevanz und Datentyp an den Command-and-Control-Server (C2, C&C) zurück.
Diese Ergebnisse unterstreichen die Notwendigkeit für Internetnutzer, bei der Installation von Browsererweiterungen vorsichtig zu sein, insbesondere bei solchen, die einen schnellen Zugriff auf beliebte Dienste versprechen. Sie sollten auch regelmäßig ihre Liste der installierten Erweiterungen überprüfen und alle entfernen, die nicht mehr benötigt werden oder die ein fragwürdiges Verhalten aufweisen.
Bedrohungsakteure können versuchen, die gesammelten Informationen zu verkaufen
Laut den Forschern wird der Bedrohungsakteur hinter der Browsererweiterung „Quick access to ChatGPT“ wahrscheinlich die Informationen, die er aus der Kampagne gesammelt hat, an den Meistbietenden verkaufen. Alternativ können die Cyberkriminellen versuchen, die gekaperten Facebook-Geschäftskonten zu verwenden, um eine Bot-Armee aufzubauen, die sie dann verwenden könnten, um böswillige Anzeigen über die Konten der Opfer zu veröffentlichen.
Die Malware ist mit Mechanismen ausgestattet, um die Sicherheitsmaßnahmen von Facebook zu umgehen, wenn Zugriffsanfragen auf seine APIs bearbeitet werden. Bevor Facebook beispielsweise den Zugriff über seine Meta Graph-API gewährt, überprüft es zunächst, ob die Anfrage von einem authentifizierten Benutzer und einem vertrauenswürdigen Ursprung stammt. Um diese Vorsichtsmaßnahme zu umgehen, fügte der Angreifer Code in die bösartige Browsererweiterung ein, der sicherstellte, dass bei allen Anfragen an die Facebook-Website vom Browser des Opfers die Kopfzeilen geändert wurden, sodass sie scheinbar auch vom Browser des Opfers stammten.
Dies gibt der Erweiterung die Möglichkeit, jede Facebook-Seite frei zu durchsuchen, einschließlich API-Aufrufe und -Aktionen, mit dem infizierten Browser und ohne Spuren zu hinterlassen. Die Leichtigkeit, mit der die Erweiterung die Sicherheitsmaßnahmen von Facebook umgehen könnte, unterstreicht die Notwendigkeit für Online-Plattformen, bei der Erkennung und Verhinderung solcher böswilliger Aktivitäten wachsam zu sein. Die bösartige Browsererweiterung „Schnellzugriff auf ChatGPT“ wurde inzwischen von Google aus dem Chrome-Store entfernt.
