"FakeGPT" #2: Eine weitere Variante der Chrome-Erweiterung für den Facebook-Konto-Stealer wird durch Open-Source bösartig

Wenige Stunden nach Guardios Meldung an Google wurde die Erweiterung nun aus dem Chrome-Store entfernt. Zum Zeitpunkt der Entfernung wurde angegeben, dass mehr als 9000 Nutzer sie installiert hatten.

Von Open-Source zu Malicious-Source

Die neue Variante der FakeGPT Chrome-Erweiterung mit dem Namen "Chat GPT For Google" zielt erneut auf Ihre Facebook-Konten unter dem Deckmantel einer ChatGPT-Integration für Ihren Browser ab. Dieses Mal mussten die Bedrohungsakteure nicht hart an der Gestaltung dieser bösartigen ChatGPT-Erweiterung arbeiten - sie haben einfach ein bekanntes Open-Source-Projekt, das genau das tut, abgezweigt und bearbeitet. Von Null auf "Held" in wahrscheinlich weniger als 2 Minuten.

Links: Die "FakeGPT"-Variante im Chrome Store. Rechts: Die echte "ChatGPT for Google"-Erweiterung

Die echte "ChatGPT for Google"-Erweiterung basiert auf diesem Open-Source-Projekt, das in den letzten Monaten an Popularität und Millionen von Nutzern gewonnen hat. Als Open-Source-Projekt ist es dazu gedacht, Wissen zu teilen und einen Beitrag für die Entwicklergemeinschaft zu leisten - sie wussten nicht, dass es so leicht für bösartige Aktivitäten missbraucht werden kann.

Ein Stealer, der mit Googles gesponserter Suche geschoben wird

Diesmal wird die bösartige Erweiterung nicht über gesponserte Facebook-Posts verbreitet, sondern über bösartige gesponserte Google-Suchergebnisse, wie wir sie in letzter Zeit bei vielen anderen Aktivitäten gesehen haben.

Sie suchen also nach "Chat GPT 4", um den neuen Algorithmus zu testen, und klicken schließlich auf ein gesponsertes Suchergebnis, das Ihnen genau das verspricht. Dadurch werden Sie auf eine Landing Page weitergeleitet, die Ihnen ChatGPT direkt auf Ihrer Suchergebnisseite anbietet - Sie müssen nur noch die Erweiterung aus dem offiziellen Chrome Store installieren. Dadurch erhalten Sie Zugang zu ChatGPT aus den Suchergebnissen heraus, aber auch Ihr Facebook-Konto wird im Nu gefährdet!

Angriffsfluss von der Google-Suche zu kompromittierten Facebook-Konten

Verschlüsseltes Cookie-Sneaking über gefälschte HTTP-Header

Basierend auf der Version 1.16.6 des Open-Source-Projekts führt diese FakeGPT-Variante nur eine bestimmte bösartige Aktion aus, direkt nach der Installation, und der Rest ist im Grunde derselbe wie der echte Code - so dass es keinen Grund für einen Verdacht gibt.

Die echte ChatGPT for Google Open-Source Projektseite auf GitHub

Wenn wir uns die OnInstalled-Handler-Funktion ansehen, die ausgelöst wird, sobald die Erweiterung installiert ist, sehen wir, dass die echte Erweiterung sie nur verwendet, um sicherzustellen, dass Sie den Optionsbildschirm sehen (um sich bei Ihrem OpenAI-Konto anzumelden). Auf der anderen Seite nutzt der geforkte, bösartige Code genau diesen Moment aus, um Ihre Sitzungscookies abzugreifen - wie wir in diesem deobfuskierten Codebeispiel der bösartigen Erweiterung sehen können

Was wir hier sehen, ist einfaches Cookie-Hijacking, das wieder einmal Facebook gewidmet ist, wie im folgenden Codeschnipsel zu sehen ist, wo die Funktion et() Facebook-bezogene Cookies aus der vollständigen Liste herausfiltert, die mit der Chrome Extension API erworben wurde. Später wird xa() verwendet, um alles mit AES unter Verwendung des Schlüssels "chatgpt4google" zu verschlüsseln:

Sobald die Liste fertig ist, wird sie mit einer GET-Anfrage an den C2-Server gesendet, der auf dem Dienst workers.dev gehostet wird, demselben Dienst, den wir bei der ursprünglichen Variante von FakeGPT gesehen haben.

Die Cookie-Liste wird mit AES verschlüsselt und an den HTTP-Header-Wert X-Cached-Key angehängt. Diese Technik wird hier verwendet, um zu versuchen, die Cookies herauszuschmuggeln, ohne dass DPI-Mechanismen (Deep Packet Inspection) bei der Nutzlast der Pakete Alarm schlagen (weshalb sie auch verschlüsselt ist).
Beachten Sie nur, dass es im HTTP-Protokoll keinen X-Cached-Key-Header gibt! Es gibt einen X-Cache-Key-Header (ohne das 'd'), der für Antworten und nicht für Anfragen verwendet wird. Aber das stört die Betrüger nicht, die von kompromittierten Browsern genau das bekommen, was sie brauchen:

Wenn wir den Header-Wert entschlüsseln, erhalten wir eine übersichtliche Liste aller aktuellen Facebook-Sitzungscookies, die im Browser aktiv sind, die etwa so aussieht (reduzierte Liste):

Auf die obige Anfrage antwortet der C2-Server mit einem generischen 404-Fehler und das war's - " All Your Facebook are belong to us!"

Vom Cookie-Sneaking bis zum Facebook-Hijacking

Für Bedrohungsakteure sind die Möglichkeiten endlos: Sie können Ihr Profil als Bot für Kommentare, Likes und andere Werbeaktivitäten nutzen oder Seiten und Werbekonten erstellen, die Ihren Ruf und Ihre Identität nutzen, um für Dienste zu werben, die sowohl legitim sind als auch wahrscheinlich nicht.

Mit diesen Cookies kann Ihre Facebook-Sitzung schnell übernommen werden, Ihre grundlegenden Anmeldedaten für das Konto werden geändert, und von diesem Punkt an verlieren Sie die Kontrolle über Ihr Profil, ohne dass Sie sie wiedererlangen können. Anschließend werden automatisch der Profilname und das Profilbild geändert - wahrscheinlich in eine weitere gefälschte "Lilly Collins" (die anscheinend ihr Favorit ist) - und natürlich werden Ihre privaten Daten (für noch mehr Profit) abgegriffen und endgültig gelöscht, um Platz für Böswilligkeit zu schaffen.

Wir haben in letzter Zeit gesehen, wie viele Nutzerprofile darauf hereingefallen sind. Viele von ihnen wurden später missbraucht, um weitere bösartige Aktivitäten innerhalb des Facebook-Ökosystems zu fördern und sogar schlichte und einfache Propaganda der schlimmsten Art zu betreiben.

Ein ziemlich brutales Beispiel, um das Ganze zu veranschaulichen, ist diese Geschäftsseite von RV-Selling, die am 4. März 2023 gekapert wurde. Sie ist immer noch unter der ursprünglichen URL https://www[.]facebook[.]com/shadymaplefarmmarket zu finden und wird nun zur Werbung für ISIS-Inhalte genutzt. Sehen Sie, wie Lily Collins sofort nach dem Hijacking automatisch als Profilbild hinzugefügt wird (wahrscheinlich durch ein automatisches System, das von Betrügern verwendet wird). Später wird das Profilbild auf Bilder mit ISIS-Themen aktualisiert, möglicherweise nachdem es an einen anderen Schauspieler verkauft wurde, der diese Art von Inhalten mit Hilfe von gestohlenen Facebook-Konten mit hohem Bekanntheitsgrad verbreiten will:

Beispiel für eine gekaperte Facebook-Geschäftsseite, die für die Verbreitung von ISIS-Inhalten genutzt wird

Und nicht zuletzt

Der Missbrauch der Marke und der Popularität von ChatGPT nimmt immer weiter zu, nicht nur zum Sammeln von Facebook-Konten und nicht nur mit bösartigen gefälschten Erweiterungen für Chrome. Wichtige Dienste, die von Facebook, Google und anderen großen Namen angeboten werden, werden ständig angegriffen und missbraucht, und am Ende sind wir, die Nutzer, die Hauptleidtragenden.

Das Bewusstsein ist ein entscheidender Faktor, um diese Angriffe abzuwehren und die eigenen Daten zu schützen. Heutzutage wird es jedoch immer offensichtlicher, dass es auch für private und gelegentliche Internetnutzer eine Art von Sicherheitsschutz und Erkennungsdiensten geben muss, die besser auf ihre Bedürfnisse zugeschnitten sind und die riesigen Sicherheitslücken schließen, von denen die Nutzer massenhaft betroffen sind.

Lesen Sie mehr über die "FakeGPT"-Kampagne:

"FakeGPT": Neue Variante der Chrome-Erweiterung "Fake-ChatGPT" stiehlt Facebook-Werbekonten mit Tausenden von täglichen Installationen

IOCs

Dieser Artikel wurde in Zusammenarbeit mit Guardio Labs veröffentlicht .

Bildquelle: unsplash.com