"FakeGPT": Neue Variante der Chrome-Erweiterung "Fake-ChatGPT" stiehlt Facebook-Werbekonten

Der Teufelskreis der gekaperten Facebook-Werbung

Unser Sicherheitsforschungsteam bei Guardio überwacht ständig die Aktivitäten rund um den Markenmissbrauch von ChatGPT, mit endlosen Kampagnen zur Verbreitung von Malware und Phishing für Ihre Kreditkarten. Am 3.3.2023 entdeckte unser Team eine neue Variante einer bösartigen gefälschten ChatGPT-Browsererweiterung, die Teil einer Anfang Februar gestarteten Kampagne mit mehreren anderen bösartigen Erweiterungen der Marke ChatGPT war. Diesmal mit einer bedrohlichen Technik zur Übernahme Ihrer Facebook-Konten und einem ausgeklügelten wurmähnlichen Ansatz zur Verbreitung.

Die bösartige Stealer-Erweiterung mit dem Titel "Quick access to Chat GPT" wird in von Facebook gesponserten Beiträgen als schnelle Möglichkeit angepriesen, ChatGPT direkt von Ihrem Browser aus zu nutzen. Obwohl die Erweiterung Ihnen das ermöglicht (indem sie einfach eine Verbindung zur offiziellen ChatGPT-API herstellt), sammelt sie auch alle Informationen, die sie von Ihrem Browser übernehmen kann, stiehlt Cookies von autorisierten aktiven Sitzungen für jeden Dienst, den Sie haben, und wendet auch maßgeschneiderte Taktiken an, um Ihr Facebook-Konto zu übernehmen.

Von Malvertising über die Installation von Erweiterungen bis hin zum Hijacking von Facebook-Konten und wieder zurück zur Verbreitung

Sobald der Bedrohungsakteur in den Besitz Ihrer gestohlenen Daten gelangt ist, wird er sie wahrscheinlich wie üblich an den Meistbietenden verkaufen, doch als wir diese Operation genauer untersuchten, stellten wir fest, dass sie sich besonders um hochkarätige Facebook-Geschäftskonten kümmern. Mit diesem Ansatz kann sich die Kampagne mit ihrer eigenen Armee von gekaperten Facebook-Bot-Konten weiter ausbreiten, mehr gesponserte Beiträge und andere soziale Aktivitäten im Namen der Profile ihrer Opfer veröffentlichen und Geldguthaben für Geschäftskonten ausgeben!

In der obigen Beschreibung der Kampagne sind einige ausgeklügelte Techniken versteckt, um die Daten der Opfer abzugreifen und Facebook-Konten zu übernehmen. Dabei werden Online-Dienste und leistungsstarke APIs von Google und Facebook missbraucht, was den Bedrohungsakteuren einige sehr mächtige Werkzeuge für den Erfolg an die Hand gibt.

Missbrauch des Browser-Kontextes des Opfers

Sobald die Erweiterung installiert ist, erhalten Sie das, was in der Werbung angekündigt wird - ein kleines Popup-Fenster, das nach einem Klick auf das Erweiterungssymbol erscheint und Sie auffordert, ChatGPT zu fragen, was Sie möchten.

Doch genau an dieser Stelle fängt es an, verdächtig zu werden. Die Erweiterung ist nun ein integraler Bestandteil Ihres Browsers. Daher kann sie jede beliebige Anfrage an jeden anderen Dienst senden - als ob der Browserbesitzer selbst dies aus demselben Kontext heraus initiieren würde. Dies ist von entscheidender Bedeutung, da der Browser in den meisten Fällen bereits eine aktive und authentifizierte Sitzung mit fast allen Ihren alltäglichen Diensten, z. B. Facebook, hat.

Genauer gesagt ermöglicht dies der Erweiterung den Zugriff auf Metas Graph-API für Entwickler, wodurch der Bedrohungsakteur schnell auf alle Ihre Daten zugreifen und über einfache API-Aufrufe direkt in Ihrem Facebook-Konto Aktionen in Ihrem Namen durchführen kann.

Natürlich gibt es Einschränkungen und Sicherheitsmaßnahmen, die von Facebook ergriffen werden, z. B. die Sicherstellung, dass die Anfragen von einem authentifizierten Nutzer und von der entsprechenden Quelle stammen. Die Erweiterung hat bereits eine authentifizierte Sitzung mit Facebook, aber was ist mit dem Ursprung der Anfragen, die sie sendet? Dank der declarativeNetRequest-API von Chrome hat die Erweiterung eine einfache Möglichkeit, den Schutz von Facebook zu umgehen.

Das folgende Codestück wird in der bösartigen Erweiterung direkt bei der Initiierung aufgerufen und sorgt dafür, dass die Kopfzeilen aller Anfragen, die von einer beliebigen Quelle Ihres Browsers (einschließlich der Erweiterung selbst) an facebook.com gesendet werden, so geändert werden, dass der Ursprung ebenfalls als "facebook.com" angegeben wird. Dies gibt der Erweiterung die Möglichkeit, jede beliebige Facebook-Seite (einschließlich API-Aufrufe und Aktionen) mit Ihrem infizierten Browser zu durchsuchen, und zwar ohne jede Spur.

Beachten Sie, dass die Variable d die entsprechende Domäne enthält (in unserem Fall facebook.com), die vom C2-Server unter api2[.]openai-service[.]workers[.]dev an die Nebenstelle zurückgesendet wurde.

Sammeln von Daten und Zurücksenden an C2-Server

Sobald das Opfer das Erweiterungsfenster öffnet und eine Frage an ChatGPT schreibt, wird die Anfrage an OpenAIs Server gesendet, um Sie zu beschäftigen - während im Hintergrund sofort das Harvesting ausgelöst wird.

Im Folgenden finden Sie einige Beispiele für entschlüsselten Code aus dem Quellcode der bösartigen Erweiterung. Er wurde in Typescript geschrieben und gepackt/verkleinert, doch mit Hilfe der darin enthaltenen .map-Dateien ist es uns gelungen, den Code wieder so zusammenzusetzen, dass er besser lesbar ist - mit allen Funktions- und Variablennamen, die sich auf den ersten Blick als wirklich informativ und ziemlich offensichtlich für die wahren Absichten dieses Codes herausstellten:

Die oben genannten Funktionen führen verschiedene Abfragen unter Verwendung der Graph-API von Facebook sowie anderer Chrome-APIs aus, z. B. zum Abrufen aller Cookies. Ein bemerkenswertes Beispiel aus dem Code:

Der obige Graph-API-Aufruf liefert den Angreifern alles, was sie über Ihr Business-Facebook-Konto (falls verfügbar) benötigen, einschließlich Ihrer derzeit aktiven Werbeaktionen und Ihres Guthabens. Später prüft die Erweiterung alle gesammelten Daten, bereitet sie auf und sendet sie mithilfe der folgenden API-Aufrufe - jeweils nach Relevanz und Datentyp - an den C2-Server zurück:

Jeder Aufruf enthält eine detaillierte JSON-formatierte Nutzlast mit ALLEN benötigten Daten, einschließlich Sitzungscookies, Geldsaldo und dergleichen. Nur ein kurzes Beispiel für die grundlegenden Daten, die exfiltriert werden:

Beispiel für ausgehende Daten von der Nebenstelle an C2 beim API-Aufruf "add-data-account"

Beispiel für ausgehende Daten von der Erweiterung an C2 beim API-Aufruf "add-ads-manager"

Im ersten Beispiel wurde die vollständige Liste der Cookies für die Anzeige reduziert. Sie werden jedoch feststellen, dass ALLE Cookies in Ihrem Browser gespeichert sind - einschließlich Sicherheits- und Sitzungs-Token für Dienste wie YouTube, Google-Konten, Twitter usw.
Im zweiten Beispiel: Sobald die Erweiterung herausfindet, dass Sie eine Unternehmensseite haben, sammelt sie Ihre Facebook-Kontodaten und alle Ihre aktuellen Anzeigenkonfigurationen sowie Finanzdaten, wie oben dargestellt.

Übernahme von Konten mit einer plumpen Facebook-Anwendung

Jetzt haben die Bedrohungsakteure genug Daten, um daraus Profit zu schlagen - und wenn sie Ihr Konto interessant genug für sich gefunden haben (z. B. wenn Sie eine Geschäftsseite mit vielen Likes und einen Werbeplan mit Guthaben haben, das darauf wartet, ausgegeben zu werden) - ist es an der Zeit, die Kontrolle zu übernehmen!

Ein eigens entwickeltes Modul im Code der Erweiterung(Portal.ts) enthält eine Klasse namens Potal(ja, ein Tippfehler...), die für diesen Zauber verantwortlich ist. Anstatt zu versuchen, Kontopasswörter abzugreifen oder 2FA mit Sitzungs-Tokens zu umgehen (was aufgrund der Sicherheitsmaßnahmen von Facebook nicht so einfach ist), wählt dieser Bedrohungsakteur einen anderen Weg - eine bösartige Facebook-Anwendung.

Eine Anwendung im Facebook-Ökosystem ist in der Regel ein SaaS-Dienst, der für die Nutzung seiner speziellen API zugelassen wurde, so dass der Drittanbieterdienst Kontoinformationen abrufen und Aktionen in Ihrem Namen durchführen kann. Wir alle erinnern uns an diese Apps, die unseren Feed mit Werbebeiträgen spammen, aber dieser Bedrohungsakteur hebt dies auf eine andere Ebene.

Das Potal-Modul missbraucht wieder einmal den ChatGPT-Popup-Kontext, um in Ihrem Namen Anfragen an Facebook-Server zu senden - dieses Mal automatisiert es den gesamten Prozess der Registrierung einer App auf Ihrem Konto und deren Genehmigung, um im Grunde einen VOLLEN ADMIN-MODUS zu erhalten .

Dieser Bedrohungsakteur verwendet 2 Hauptanwendungen, wie im Code zu sehen ist:

Die erste bösartige Facebook-App(Portal) ist nicht mehr verfügbar, aber die zweite ist immer noch quicklebendig. Um wirklich zu verstehen, was sie tut, haben wir die Einstellungsseite von Facebook manipuliert und die app_id einer real installierten App auf unserem Konto mit der von diesem Bedrohungsakteur verwendeten geändert:

Auf diese Weise haben wir den Namen, das Symbol und - was am wichtigsten ist - die lange (wirklich lange) Liste der erteilten Berechtigungen aufgedeckt:

Diese App, die aus irgendeinem Grund tatsächlich von Facebook genehmigt wurde und funktioniert, scheint alle verfügbaren Berechtigungen zu verlangen! Von der vollen Kontrolle über Ihr Facebook-Profil und Ihre Aktivitäten bis hin zu Verwaltungsbefugnissen für alle Ihre Gruppen, Seiten, Unternehmen und natürlich Werbekonten. Sie können sogar Ihre verbundenen WhatsApp- und Instagram-Konten verwalten !

Außerdem verwendet sie den gleichen Namen und das gleiche Symbol wie eine offizielle App von Facebook:

Die Auflistung der offiziellen Messenger Kids-App von Facebook

Der Prozess der Automatisierung des Hinzufügens der App zu den Konten der Opfer ist in dieser Hauptfunktion des Potal-Moduls zu sehen. Alle Funktionen nutzen auch hier die Facebook Graph API, ohne dass eine einzige Interaktion seitens des Opfers erforderlich ist - von der Aufforderung, die Anwendung hinzuzufügen, über die Authentifizierung bis hin zur abschließenden Bestätigung:

Diesmal werden die exfiltrierten Daten verschlüsselt, bevor sie nach Hause geschickt werden. Wir gehen davon aus, dass dies darauf zurückzuführen ist, dass die Bedrohungsakteure mit dieser Methode nur wirklich wertvolle Ziele anvisieren und dass sie diese und andere bösartige Aktivitäten mithilfe von Facebook-Posts, die mit diesen Konten erstellt wurden, selbst verbreiten.

Fazit

Nicht nur, dass diese bösartige Erweiterung im offiziellen Chrome-Store frei herumläuft (und immer noch aktiv ist, während diese Zeilen geschrieben werden), sie missbraucht auch die offizielle Anwendungs-API von Facebook in einer Weise, die bereits die Aufmerksamkeit der Richtlinienverantwortlichen hätte erregen müssen. Ganz zu schweigen von den falschen und böswilligen beworbenen Beiträgen, die von Facebook so leicht genehmigt werden.

Seit dem ersten Auftauchen am 03.03.2023 installieren täglich mehr als 2000 Nutzer diese Erweiterung - jedem von ihnen wird sein Facebook-Konto gestohlen, und das ist wahrscheinlich nicht der einzige Schaden.

Wir sehen in letzter Zeit, dass das Vertrauen, das wir den Unternehmen und großen Namen, die für den Großteil unserer Online-Präsenz und -Aktivitäten verantwortlich sind, blindlings geschenkt haben, in Mitleidenschaft gezogen wird - Google erlaubt immer noch Malvertising in seinen beworbenen Suchergebnissen, und YouTube kann die gekaperten Kanäle, die für Cryptoscams werben, nicht loswerden, und Facebook erlaubt erlaubnishungrige gefälschte Anwendungen, die die Facebook-eigenen Anwendungen imitieren!

Diese Aktivitäten werden wahrscheinlich auch in Zukunft bestehen bleiben. Daher müssen wir selbst beim täglichen Surfen wachsam sein - klicken Sie nicht auf das erste Suchergebnis und achten Sie immer darauf, dass Sie nicht auf gesponserte Links und Beiträge klicken, wenn Sie nicht ziemlich sicher sind, wer dahinter steckt!

IOCs

Dieser Artikel wurde in Zusammenarbeit mit Guardio Labs veröffentlicht

Bildquelle: Unsplash.com