Зараженная версия законного расширения ChatGPT для Chrome, предназначенная для кражи учетных записей Facebook, имеет тысячи загрузок.
Команда безопасности Guardio обнаружила новый вариант вредоносного расширения Chat-GPT для Chrome, которое уже загружалось тысячами в день.
Версия, использованная в недавней кампании, основана на законном проекте с открытым исходным кодом . Злоумышленники добавили вредоносный код для кражи учетных записей Facebook.
Законное расширение называется « ChatGPT для Google » и позволяет интегрировать ChatGPT в результаты поиска.
Новое вредоносное расширение Chrome распространяется с 14 марта 2023 года через спонсируемые результаты поиска Google и загружается в официальный магазин Chrome. Эксперты заметили, что впервые он был загружен в Интернет-магазин Chrome 14 февраля 2023 года.
По словам исследователей, он может красть файлы cookie сеанса Facebook и массово компрометировать учетные записи.
Слева: вариант «FakeGPT» в магазине Chrome. Справа: подлинное расширение «ChatGPT для Google».
«Новый вариант расширения FakeGPT для Chrome под названием «Chat GPT для Google» снова нацелен на ваши учетные записи Facebook под прикрытием интеграции ChatGPT для вашего браузера». — говорится в сообщении , опубликованном Guardio Labs. «На этот раз злоумышленникам не пришлось усердно работать над внешним видом этого вредоносного расширения на тему ChatGPT — они просто разветвили и отредактировали известный проект с открытым исходным кодом, который делает именно это. От нуля до «героя» менее чем за 2 минуты».
Пользователи сети, которые ищут «Chat GPT 4», потому что заинтересованы в тестировании нового алгоритма последней версии популярного чат-бота, в конечном итоге нажимают на спонсируемый результат поиска. Ссылка перенаправляет жертв на целевую страницу, предлагающую расширение ChatGPT из официального магазина Chrome. Расширение предоставит пользователям доступ к ChatGPT из результатов поиска, но также скомпрометирует их учетную запись Facebook.
Как только жертва установила расширение, вредоносный код использует функцию обработчика OnInstalled для кражи файлов cookie сеанса Facebook. Затем злоумышленники используют украденные файлы cookie, чтобы войти в учетную запись жертвы в Facebook и завладеть ею.
Вредоносный код использует Chrome Extension API для сбора списка файлов cookie, используемых Facebook, и шифрует их с помощью AES с помощью ключа «chatgpt4google».
Собранные файлы cookie отправляются на сервер злоумышленников с помощью GET-запроса.
«Список файлов cookie зашифрован с помощью AES и прикреплен к значению HTTP-заголовка X-Cached-Key. Этот метод используется здесь, чтобы попытаться украсть файлы cookie без каких-либо механизмов DPI (глубокая проверка пакетов), вызывающих предупреждения о полезной нагрузке пакета (поэтому он также зашифрован)». продолжает отчет. «Обратите внимание, что в HTTP-протоколе нет X-Cached-Key Header! Заголовок aX-Cache-Key (без буквы «d») используется для ответов, а не для запросов».
Исследователи Guardio сообщили о своих выводах в Google, которая быстро удалила расширение из магазина Chrome. На момент удаления вредоносное расширение установили более 9000 пользователей. Кроме тго расшитерение и сейчас доступно на различных сайтах и неофицальных магазинах приложений.