"FakeGPT" #2 : L'Open-Source devient malveillant dans une autre variante de l'extension Chrome qui vole les comptes Facebook

Quelques heures après le rapport de Guardio à Google, l'extension a été retirée de la boutique Chrome. Au moment de la suppression, il a été indiqué que plus de 9000 utilisateurs l'avaient installée.

De l'open-source à la source malveillante

La nouvelle variante de l'extension Chrome FakeGPT, intitulée "Chat GPT For Google", cible à nouveau vos comptes Facebook sous le couvert d'une intégration de ChatGPT dans votre navigateur. Cette fois-ci, les acteurs de la menace n'ont pas eu à travailler dur sur l'aspect et la convivialité de cette extension malveillante sur le thème du ChatGPT - ils ont simplement forké et édité un projet open-source bien connu qui fait exactement cela. De zéro à "héros" en probablement moins de 2 minutes.

À gauche : la variante "FakeGPT" sur Chrome Store. A droite : L'extension "ChatGPT for Google" authentique

La véritable extension "ChatGPT For Google" est basée sur ce projet Open-Source, qui a gagné en popularité et a attiré des millions d'utilisateurs au cours des derniers mois. En tant que projet open-source, il est destiné à partager des connaissances et à contribuer à la communauté des développeurs - ils étaient loin de se douter qu'il serait si facilement utilisé à des fins malveillantes.

Un voleur poussé par la recherche sponsorisée de Google

Cette fois-ci, l'extension malveillante n'est pas diffusée par le biais de messages Facebook sponsorisés, mais plutôt par des résultats de recherche Google sponsorisés malveillants, comme nous l'avons vu avec de nombreuses autres activités ces derniers temps.

Ainsi, vous recherchez "Chat GPT 4", impatient de tester le nouvel algorithme, et vous finissez par cliquer sur un résultat de recherche sponsorisé qui vous promet exactement cela. Ce résultat vous redirige vers une page d'atterrissage vous offrant ChatGPT au sein même de votre page de résultats de recherche - il ne vous reste plus qu'à installer l'extension depuis le Chrome Store officiel. Cela vous permettra d'accéder à ChatGPT à partir des résultats de recherche, mais compromettra également votre compte Facebook en un instant !

Flux d'attaques depuis Google Search vers des comptes Facebook compromis

Fuite de cookies cryptés via de faux en-têtes HTTP

Basée sur la version 1.16.6 du projet open-source, cette variante de FakeGPT n'effectue qu'une seule action malveillante spécifique, juste après l'installation, et le reste est fondamentalement identique au code authentique - ce qui ne laisse aucune raison de suspecter quoi que ce soit.

L'authentique page du projet Open-Source ChatGPT for Google sur GitHub

En regardant la fonction OnInstalled handler qui est déclenchée une fois que l'extension est installée, nous voyons que l'extension authentique l'utilise simplement pour s'assurer que vous voyez l'écran des options (pour vous connecter à votre compte OpenAI). D'un autre côté, le code forké, devenu malveillant, exploite ce moment précis pour s'emparer de vos cookies de session - comme nous pouvons le voir dans cet exemple de code désobfusqué de l'extension malveillante.

Il s'agit ici d'un détournement de cookies pur et simple, consacré une fois de plus à Facebook, comme le montre l'extrait de code suivant, dans lequel la fonction et() filtre les cookies liés à Facebook à partir de la liste complète obtenue avec l'API de l'extension Chrome. Plus tard, xa()est utilisé pour tout chiffrer avec AES en utilisant la clé "chatgpt4google" :

Une fois la liste prête, elle est envoyée avec une requête GET au serveur C2 hébergé sur le service workers.dev, le même service que nous avons vu sur la variante originale de FakeGPT.

La liste des cookies est cryptée avec AES et jointe à la valeur de l'en-tête HTTP X-Cached-Key. Cette technique est utilisée ici pour essayer de faire passer les cookies en douce sans que les mécanismes de DPI (Deep Packet Inspection) ne déclenchent d'alertes sur la charge utile du paquet (c'est pourquoi elle est également cryptée).
Notez seulement qu'il n'y a pas d'en-tête X-Cached-Key dans le protocole HTTP ! Il existe un en-tête X-Cache-Key (sans le "d") utilisé pour les réponses, pas pour les demandes. Mais cela ne dérange pas les escrocs qui obtiennent exactement ce dont ils ont besoin à partir de navigateurs compromis :

En décryptant la valeur de l'en-tête, nous obtenons une liste facile à lire de tous les cookies de session Facebook actifs dans le navigateur, qui ressemble à ceci (liste réduite) :

A la requête ci-dessus, le serveur C2 répond par une erreur générique 404 et c'est tout - " All Your Facebook are belong to us !".

Du vol de cookies au détournement de Facebook

Pour les acteurs de la menace, les possibilités sont infinies : utiliser votre profil comme un robot pour obtenir des commentaires, des mentions "J'aime" et d'autres activités promotionnelles, ou créer des pages et des comptes publicitaires en utilisant votre réputation et votre identité pour promouvoir des services qui sont à la fois légitimes et probablement non légitimes pour la plupart.

Grâce à ces cookies, votre session Facebook peut être rapidement dépassée, les données de connexion à votre compte de base modifiées et, à partir de ce moment, vous perdez le contrôle de votre profil sans aucun moyen de le récupérer. Ensuite, le nom et la photo du profil seront automatiquement modifiés - probablement pour une autre fausse "Lilly Collins" (qui semble être leur préférée) et, bien sûr, vos données privées seront récoltées (pour plus de profit) et effacées pour de bon afin de faire de la place à la malveillance.

Nous avons vu de nombreux profils d'utilisateurs tomber dans ce piège ces derniers temps, beaucoup étant ensuite utilisés pour pousser d'autres activités malveillantes au sein de l'écosystème de Facebook et même pour de la propagande pure et simple de la pire espèce.

Un exemple assez brutal pour visualiser le tout est cette page d'entreprise de vente de véhicules récréatifs détournée le 4 mars 2023. Toujours disponible sur l'URL d'origine https://www[.]facebook[.]com/shadymaplefarmmarket, elle est désormais utilisée pour promouvoir le contenu d'ISIS. Voyez comment Lily Collins est automatiquement ajoutée comme photo de profil immédiatement après avoir été détournée (probablement par un système automatisé utilisé par les escrocs). Elle est ensuite remplacée par des photos sur le thème de l'ISIS, peut-être parce qu'elle a été vendue à un autre acteur cherchant à propager ce type de contenu en utilisant des comptes Facebook volés de grande notoriété :

Exemple d'une page d'entreprise Facebook détournée et utilisée pour promouvoir le contenu d'ISIS

Dernier point, mais non des moindres

L'utilisation abusive de la marque et de la popularité de ChatGPT ne cesse d'augmenter, non seulement pour collecter des comptes Facebook, mais aussi avec de fausses extensions malveillantes pour Chrome. Les principaux services offerts par Facebook, Google et d'autres grands noms font l'objet d'attaques et d'abus continus, alors qu'au bout du compte, ce sont nous, les utilisateurs, qui sommes les plus touchés.

La sensibilisation est un facteur crucial pour éviter ces attaques et préserver la confidentialité de vos données, mais il est de plus en plus évident que même les utilisateurs occasionnels d'Internet doivent pouvoir compter sur des services de protection et de détection de la sécurité plus pertinents et mieux adaptés à leurs besoins, afin de combler les énormes lacunes en matière de sécurité qui touchent les utilisateurs en masse.

En savoir plus sur la campagne "FakeGPT" :

"FakeGPT" : Une nouvelle variante de l'extension Chrome Fake-ChatGPT vole des comptes publicitaires Facebook avec des milliers d'installations quotidiennes.

CIO

Cet article a été publié en collaboration avec Guardio Labs.

Source de l'image : unsplash.com