Троянская версия расширения ChatGPT для Chrome похищает аккаунты в соцсетях

Опубликовано автором

Google удалил поддельное расширение Chrome из официального интернет-магазина Chrome, которое маскировалось под официальный ChatGPT OpenAI и было загружено более 9000 раз. Дело в том, что это расширение крало файлы cookie сеанса Facebook* и использовалось для захвата чужих учетных записей.

Общая схема атаки

Вредоносное расширение было копией настоящего ChatGPT для Google и якобы предлагал интеграцию ChatGPT с результатами поиска. Расширение было загружено в интернет-магазин Chrome 14 февраля 2023 года, но продвигать его с помощью рекламы в поиске Google автор начал только 14 марта 2023 года. С тех пор его устанавливали в среднем 1000 раз в день.

Подделка (слева) и оригинал (справа)

Вредоносное ПО было обнаружено специалистами компании Лаборатории Гуардиокоторые сообщают, что расширение взаимодействовало с той же инфраструктурой, которая использовалась ранее в этом месяце. Аналогичное расширение Для Chrome, у которого было более 4000 установок, прежде чем он был обнаружен и удален. Судя по всему, второе расширение было частью той же кампании, и хакеры сохранили его в качестве резервной копии на случай, если первое расширение будет удалено из официального магазина.

Когда жертва установила расширение, она фактически получила обещанный функционал (интеграцию ChatGPT с результатами поиска), поскольку вредоносное ПО было копией реального продукта OpenAI. Однако в этой версии добавлена ​​функциональность в код, который пытался украсть файл cookie сеанса Facebook*.

Эти файлы cookie позволяли злоумышленникам войти в чужую учетную запись Facebook* в качестве жертвы и получить полный доступ к этому профилю, который теперь можно было использовать любым способом, в том числе в коммерческих рекламных целях.

Исследователи заявили, что вредоносное ПО злоупотребляло Chrome Extension API, чтобы получить список файлов cookie, связанных с Facebook*, затем зашифровало их с помощью AES и отправило украденные данные своим операторам через запрос GET.

Отмечается, что «захваченные» таким образом аккаунты в конечном итоге использовались для распространения вредоносной рекламы и продвижения запрещенных материалов, в том числе пропаганды организации ИГИЛ в РФ.

При этом злоумышленники автоматически меняли учетные данные взломанных профилей, чтобы усложнить жертвам процесс восстановления контроля над аккаунтом. Кроме того, имя и фотография профиля были изменены на поддельную личность некой «Лили Коллинз».

В настоящее время расширение уже удалено из Chrome Web Store, однако исследователи отмечают, что на такой случай у злоумышленников могут быть в запасе другие подобные подделки.

* Принадлежит компании «Мета», деятельность которой признана экстремистской и запрещена в России.

Source

Похожие записи:

  1. В даркнете растет спрос на аккаунты на криптовалютных биржах
  2. OpenAI запускает API для ChatGPT, стартап пробует робота-гуманоида, а Salesforce переворачивает его
  3. Откройте для себя пересмешника: официальную птицу штата Флорида! [2023]
  4. Популярный YouTube-канал Linus Tech Tips взломан для рекламы мошенничества с криптовалютой
ЧИТАТЬ   Дверь в НАТО для Украины открыта, заявил Блинкен