"FakeGPT Nueva variante de la extensión de Chrome Fake-ChatGPT que roba cuentas de anuncios de Facebook

El círculo vicioso del malvertising secuestrado en Facebook

Nuestro equipo de investigación de seguridad en Guardio está constantemente monitoreando la actividad que rodea el abuso de la marca ChatGPT, con interminables campañas de propagación de malware y phishing para sus tarjetas de crédito. El 3/3/2023, nuestro equipo detectó una nueva variante de una extensión de navegador maliciosa falsa de ChatGPT, parte de una campaña iniciada a principios de febrero con varias otras extensiones maliciosas de la marca ChatGPT. Esta vez se ha actualizado con una técnica amenazadora para hacerse con el control de sus cuentas de Facebook, así como un sofisticado método de propagación en forma de gusano.

La extensión-robadora maliciosa, titulada "Acceso rápido a Chat GPT" se promociona en posts patrocinados por Facebook como una forma rápida de empezar a usar ChatGPT directamente desde tu navegador. Aunque la extensión te da eso (simplemente conectándose a la API oficial de ChatGPT) también cosecha toda la información que puede tomar de tu navegador, roba cookies de sesiones activas autorizadas a cualquier servicio que tengas, y también emplea tácticas a medida para apoderarse de tu cuenta de Facebook.

Desde la publicidad maliciosa, la instalación de extensiones, el secuestro de cuentas de Facebook, y de nuevo a la propagación

Una vez que el Actor de la Amenaza se hace con la propiedad de tus datos robados, probablemente los venderá al mejor postor, como de costumbre, pero mientras profundizábamos en esta operación hemos notado su especial cuidado en las cuentas empresariales de Facebook de alto perfil. Con este enfoque, la campaña puede seguir propagándose con su propio ejército de cuentas de bots de Facebook secuestradas, publicando más publicaciones patrocinadas y otras actividades sociales en nombre de los perfiles de sus víctimas y gastando créditos de dinero de cuentas de negocios.

La descripción de alto nivel de la campaña anterior esconde en su interior algunas técnicas sofisticadas para recopilar los datos de las víctimas y hacerse con el control de las cuentas de Facebook. Estas técnicas abusan de los servicios en línea y de las potentes API de Google y Facebook, lo que proporciona a los actores de la amenaza algunas herramientas muy poderosas para tener éxito.

Abusando del contexto del navegador de la víctima

Una vez que la extensión está instalada, te da lo que se anuncia - una pequeña ventana emergente que aparece después de hacer clic en el icono de la extensión, con un mensaje para pedir ChatGPT lo que quieras.

Sin embargo, aquí es exactamente donde empieza a ser sospechoso. La extensión es ahora una parte integral de tu navegador. Por lo tanto, puede enviar cualquier solicitud a cualquier otro servicio, como si el propio propietario del navegador la iniciara desde el mismo contexto. Esto es crucial, ya que el navegador, en la mayoría de los casos, ya tiene una sesión activa y autenticada con casi todos sus servicios cotidianos, por ejemplo Facebook.

Más concretamente, esto permite a la extensión acceder a la Graph API de Meta para desarrolladores, lo que permite al actor de la amenaza acceder rápidamente a todos tus datos y también realizar acciones en tu nombre directamente en tu cuenta de Facebook mediante sencillas llamadas a la API.

Por supuesto, existen limitaciones y medidas de seguridad adoptadas por Facebook, por ejemplo, asegurarse de que las solicitudes proceden de un usuario autenticado, así como del origen pertinente. La extensión ya tiene una sesión autenticada con Facebook, pero ¿qué ocurre con el origen de las solicitudes que envía? Bueno, gracias a la API declarativeNetRequest de Chrome, la extensión tiene una forma sencilla de eludir la protección de Facebook.

El siguiente fragmento de código se ejecuta en la extensión maliciosa nada más iniciarse, asegurándose de que todas las peticiones realizadas a facebook. com por cualquier fuente de tu navegador (incluida la propia extensión) tendrán sus cabeceras modificadas para reflejar también el origen como "facebook.com". Esto da a la extensión la capacidad de navegar libremente por cualquier página de Facebook (incluyendo realizar llamadas y acciones a la API) utilizando tu navegador infectado y sin dejar rastro.

Observe que la variable d contiene el dominio correspondiente (en nuestro caso facebook.com), tal y como se envió a la extensión desde el servidor C2 en api2[.]openai-service[.]workers[.]dev

Recolección de datos y envío de vuelta a los servidores C2

Ahora, una vez que la víctima abre las ventanas de la extensión y escribe una pregunta en ChatGPT, la consulta se envía a los servidores de OpenAIs para mantenerle ocupado, mientras que en segundo plano desencadena inmediatamente la cosecha.

A continuación se muestran algunos ejemplos de código desofuscado de la fuente de la extensión maliciosa. Fue escrito en typescript y empaquetado/minificado, sin embargo, utilizando los archivos .map de su interior conseguimos reensamblar el código para que fuera más legible - mostrando todos los nombres de funciones y variables que resultaron ser realmente informativos y bastante obvios para las verdaderas intenciones de este código a primera vista:

Las anteriores son las funciones principales que ejecutan diferentes consultas utilizando la Graph API de Facebook, así como otras API de Chrome como obtener todas tus cookies. Algunos ejemplos destacables del código:

La llamada Graph API anterior proporcionará a los atacantes todo lo que necesitan sobre tu cuenta Business de Facebook (si está disponible), incluidas tus promociones activas en ese momento y tu saldo. Más tarde, la extensión examina todos los datos recopilados, los prepara y los envía de vuelta al servidor C2 mediante las siguientes llamadas a la API, cada una según la relevancia y el tipo de datos:

Cada llamada incluye una carga útil detallada en formato JSON con TODO lo que necesitan, incluidas las cookies de sesión, el saldo de dinero y demás. Solo un ejemplo rápido de los datos básicos que se filtran:

Ejemplo de salida de datos de la extensión al C2 en la llamada a la API "add-data-account"

Ejemplo de datos salientes de la extensión a C2 en la llamada a la API "add-ads-manager"

En el primer ejemplo, la lista completa de cookies se redujo para mostrarla, pero verás que hay TODAS las cookies almacenadas en tu navegador, incluidos los tokens de seguridad y de sesión de servicios como YouTube, cuentas de Google, Twitter, etc.
En el segundo ejemplo, una vez que la extensión descubre que tienes una página de empresa, recopilará los datos de tu cuenta de Facebook y toda la configuración de tus anuncios actuales, así como datos financieros, como se ha visto anteriormente.

Hacerse con el control de las cuentas con una tosca aplicación de Facebook

Ahora los actores de la amenaza tienen suficientes datos para sacar provecho - Y aún así, si encontraron tu cuenta lo suficientemente interesante para ellos (por ejemplo, tienes una página de negocios con toneladas de likes y un plan de anuncios con créditos esperando a ser gastados) - ¡es hora de tomar el control!

Un módulo específicamente desarrollado en el código de la extensión(Portal.ts) incluye una clase llamada Potal(sí, con un error tipográfico..) que es la responsable de esta magia. En lugar de tratar de cosechar contraseñas de cuentas, o tratar de eludir 2FA con tokens de sesión (que no es tan fácil debido a las medidas de seguridad de Facebook), este actor de amenaza elige otro camino - una aplicación maliciosa de Facebook.

Una aplicación en el ecosistema de Facebook suele ser un servicio SaaS aprobado para utilizar su API especial, lo que permite al servicio de terceros obtener información de la cuenta y realizar acciones en tu nombre. Todos recordamos esas aplicaciones que nos llenan el feed de spam con mensajes promocionales, pero este actor de amenazas lo está llevando a otro nivel.

El módulo Potal, una vez más, abusa del contexto de la ventana emergente ChatGPT para enviar solicitudes a los servidores de Facebook en tu nombre, esta vez automatizando todo el proceso de registro de una aplicación en tu cuenta y aprobándola para obtener, básicamente, UN MODO DE ADMINISTRADOR COMPLETO.

Este actor de amenazas utiliza 2 aplicaciones principales, como se ve en el código:

La primera aplicación maliciosa de Facebook(portal) ya no está disponible, pero la segunda sigue vivita y coleando. Para entender realmente lo que hace, hemos manipulado la página de configuración de Facebook, cambiando el app_id de una aplicación real instalada en nuestra cuenta por el utilizado por este actor de amenazas:

De esta forma hemos revelado su nombre, su icono y, lo más importante, la larga (larguísima) lista de permisos concedidos:

Esta aplicación, que por alguna razón está aprobada por Facebook y es funcional, parece solicitar todos los permisos disponibles. Desde el control total de tu perfil y actividad en Facebook hasta poderes de administrador en todos tus grupos, páginas, negocios y, por supuesto, cuentas de publicidad. ¡Incluso pueden gestionar tus cuentas conectadas de WhatsApp e Instagram!

Además, utiliza el mismo nombre e icono que una app oficial de Facebook:

El listado de la app oficial Messenger Kids de Facebook

El proceso de automatización de la adición de la aplicación a las cuentas de las víctimas puede verse en esta función principal del módulo Potal . Todas las funciones utilizan, una vez más, la API Graph de Facebook sin que la víctima tenga que interactuar: desde la solicitud para añadir la aplicación, pasando por la autenticación y la confirmación final:

En esta ocasión, los datos filtrados se cifran antes de ser enviados de vuelta a casa. Suponemos que esto se debe a que el actor de la amenaza sólo se dirige a objetivos realmente valiosos con este método, y por su uso de la autopropagación de esta y otras actividades maliciosas mediante publicaciones promocionadas en Facebook creadas con esas cuentas.

Conclusión

No sólo esta extensión maliciosa está libre en la tienda oficial de Chrome (y sigue activa mientras se escriben estas líneas), sino que también está abusando de la API de aplicaciones oficiales de Facebook de una manera que ya debería haber llamado la atención de los responsables de la aplicación de políticas. Por no hablar de las falsas y malévolas publicaciones promocionadas que Facebook aprueba con tanta facilidad.

Hay más de 2000 usuarios que instalan esta extensión a diario desde su primera aparición el 03/03/2023 - a cada uno le roban su cuenta de Facebook y probablemente este no sea el único daño.

Últimamente estamos viendo cómo se ve afectada la confianza que solíamos dar ciegamente a las empresas y grandes nombres que son responsables de la mayor parte de nuestra presencia y actividad online: Google sigue permitiendo la publicidad maliciosa en sus resultados de búsqueda promocionados, YouTube no puede deshacerse de esos canales secuestrados que promocionan Cryptoscams y Facebook permite aplicaciones falsas ávidas de permisos que imitan a las propias aplicaciones de Facebook.

Estas actividades están, probablemente, aquí para quedarse. Por lo tanto, debemos estar más atentos incluso en nuestra navegación cotidiana: no hagas clic en el primer resultado de búsqueda y asegúrate siempre de no hacer clic en enlaces y publicaciones patrocinados a menos que estés bastante seguro de quién está detrás de ellos.

COIs

Este artículo se ha publicado en colaboración con Guardio Labs

Fuente de la imagen: Unsplash.com