"FakeGPT #2: El código abierto se vuelve malicioso en otra variante de la extensión de Chrome que roba cuentas de Facebook

Pocas horas después del informe de Guardio a Google, la extensión ha sido eliminada de la tienda de Chrome. En el momento de la eliminación, se declaró que más de 9000 usuarios la habían instalado.

De código abierto a código malicioso

La nueva variante de la extensión de Chrome FakeGPT, titulada "Chat GPT For Google", se dirige una vez más a tus cuentas de Facebook con la excusa de integrar ChatGPT en tu navegador. Esta vez, los actores de la amenaza no tuvieron que trabajar duro en el aspecto de esta extensión maliciosa con temática ChatGPT, simplemente bifurcaron y editaron un conocido proyecto de código abierto que hace exactamente eso. De cero a "héroe" en probablemente menos de 2 minutos.

Izquierda: La variante "FakeGPT" en Chrome Store. Derecha: La extensión "ChatGPT para Google" auténtica

La extensión "ChatGPT For Google" auténtica se basa en este proyecto de código abierto , que ha ganado popularidad y millones de usuarios en los últimos meses. Como proyecto de código abierto, está pensado para compartir conocimientos y contribuir a la comunidad de desarrolladores, pero no sabían que se abusaría de él con tanta facilidad para realizar actividades maliciosas.

Un ladrón empujado con la búsqueda patrocinada de Google

Esta vez, la extensión maliciosa no se difunde a través de publicaciones patrocinadas de Facebook, sino mediante resultados de búsqueda patrocinados maliciosos de Google, como hemos visto con muchas otras actividades últimamente.

Así, buscas "Chat GPT 4", ansioso por probar el nuevo algoritmo, y acabas haciendo clic en un resultado de búsqueda patrocinado que te promete precisamente eso. Esto te redirige a una página de aterrizaje que te ofrece ChatGPT justo dentro de tu página de resultados de búsqueda - todo lo que queda es instalar la extensión desde la tienda oficial de Chrome. Esto te dará acceso a ChatGPT desde los resultados de búsqueda, ¡pero también comprometerá tu cuenta de Facebook en un instante!

Flujo de ataque desde Google Search a cuentas de Facebook comprometidas

Filtración de cookies cifradas a través de cabeceras HTTP falsas

Basada en la versión 1.16.6 del proyecto de código abierto, esta variante de FakeGPT sólo realiza una acción maliciosa específica, justo después de la instalación, y el resto es básicamente igual que el código original, sin dejar motivos para sospechar.

La página del proyecto de código abierto ChatGPT para Google en GitHub

Si nos fijamos en la función OnInstalled que se activa una vez instalada la extensión, vemos que la extensión original sólo la utiliza para asegurarse de que ves la pantalla de opciones (para iniciar sesión en tu cuenta de OpenAI). Por otro lado, el código bifurcado, convertido en malicioso, aprovecha este momento exacto para robarte las cookies de sesión, como podemos ver en este ejemplo de código desofuscado de la extensión maliciosa

Lo que vemos aquí es Cookie-Hijacking directo, dedicado una vez más a Facebook, como se puede ver en el siguiente fragmento de código donde la función et() está filtrando las cookies relacionadas con Facebook de la lista completa adquirida con la API de extensiones de Chrome. Más tarde, xa()se utiliza para cifrar todo con AES utilizando la clave "chatgpt4google":

Una vez que la lista está lista, se envía con una petición GET al servidor C2 alojado en el servicio workers.dev, el mismo servicio que hemos visto en la variante original de FakeGPT.

La lista de cookies se cifra con AES y se adjunta al valor de la cabecera HTTP X-Cached-Key. Esta técnica se utiliza aquí para intentar sacar las cookies sin que ningún mecanismo de DPI (Inspección Profunda de Paquetes) emita alertas sobre la carga útil del paquete (que es por lo que también está cifrada).
Ten en cuenta que no hay ningún encabezado X-Cached-Key en el protocolo HTTP. Hay una cabecera X-Cache-Key (sin la 'd') que se utiliza para las respuestas, no para las peticiones. Pero esto no molesta a los estafadores que obtienen exactamente lo que necesitaban de los navegadores comprometidos:

Al descifrar el valor del encabezado obtendremos una lista fácil de leer de todas las cookies de sesión de Facebook activas en el navegador, con un aspecto similar al siguiente (lista reducida):

A la petición anterior, el servidor C2 responde con un error genérico 404 y ya está: " ¡Todos tus Facebook nos pertenecen!".

Del Cookie-Sneaking al Facebook-Hijacking

Para los actores de amenazas, las posibilidades son infinitas: utilizar tu perfil como bot para obtener comentarios, "me gusta" y otras actividades promocionales, o crear páginas y cuentas publicitarias utilizando tu reputación e identidad mientras promocionan servicios que son legítimos y, probablemente, en su mayoría no lo son.

Con esas cookies, tu sesión de Facebook puede ser rápidamente sobrepasada, tus datos básicos de acceso a la cuenta cambiados, y a partir de este punto pierdes el control sobre tu perfil sin forma de recuperarlo. A esto le seguirá el cambio automático del nombre y la foto del perfil, probablemente por otro falso "Lilly Collins" (que parece ser su favorito) y, por supuesto, la recopilación de tus datos privados (para obtener más beneficios) y su eliminación definitiva para hacer sitio a los malintencionados.

Últimamente hemos visto muchos perfiles de usuario que han caído en esta trampa, muchos de los cuales han sido utilizados posteriormente para impulsar más actividades maliciosas dentro del ecosistema de Facebook e incluso simple y llanamente propaganda de la peor calaña.

Un ejemplo bastante brutal para visualizarlo todo es esta página de empresa de RV-selling secuestrada el 4 de marzo de 2023. Todavía está disponible en la URL original https://www[.]facebook[.]com/shadymaplefarmmarket y ahora se utiliza para promocionar contenido de ISIS. Vea cómo Lily Collins es añadida automáticamente como foto de perfil inmediatamente después de ser secuestrada (probablemente por un sistema automatizado utilizado por estafadores). Más tarde se actualiza con imágenes de temática ISIS, posiblemente después de haber sido vendida a otro actor que busca propagar este tipo de contenido utilizando cuentas de Facebook robadas de alto perfil:

Ejemplo de una página de empresa de Facebook secuestrada y utilizada para promocionar contenido del ISIS

Por último, pero no menos importante

El uso indebido de la marca y la popularidad de ChatGPT no deja de aumentar, y se utiliza no sólo para la recolección de cuentas de Facebook y no sólo con falsas extensiones maliciosas para Chrome. Los principales servicios ofrecidos por Facebook, Google y otros grandes nombres son objeto de continuos ataques y abusos, mientras que al final de todo, los más afectados somos nosotros, los usuarios.

La concienciación es un factor crucial para esquivar estos ataques y mantener la privacidad de los datos, pero hoy en día es cada vez más obvio que incluso para los usuarios domésticos/casuales de Internet debe haber algún tipo de protección de seguridad y servicios de detección que sean más relevantes y se centren en sus necesidades, superando las enormes brechas de seguridad que afectan a los usuarios en masa.

Más información sobre la campaña "FakeGPT":

"FakeGPT": Nueva variante de la extensión de Chrome Fake-ChatGPT que roba cuentas de anuncios de Facebook con miles de instalaciones diarias

COIs

Este artículo se ha publicado en colaboración con Guardio Labs.

Fuente de la imagen: unsplash.com