"FakeGPT" : Une nouvelle variante de l'extension Chrome Fake-ChatGPT vole des comptes publicitaires Facebook

Le cercle vicieux de la publicité malveillante détournée de Facebook

Notre équipe de recherche en sécurité chez Guardio surveille constamment l'activité entourant l'abus de la marque ChatGPT, avec des campagnes sans fin propageant des logiciels malveillants et hameçonnant vos cartes de crédit. Le 3/3/2023, notre équipe a détecté une nouvelle variante d'une fausse extension de navigateur ChatGPT malveillante, qui fait partie d'une campagne lancée début février avec plusieurs autres extensions malveillantes de la marque ChatGPT. Cette fois-ci, l'extension a été améliorée avec une technique menaçante pour prendre le contrôle de vos comptes Facebook ainsi qu'une approche sophistiquée de type ver pour la propagation.

Le voleur d'extension malveillant, intitulé "Quick access to Chat GPT", est présenté dans des messages sponsorisés par Facebook comme un moyen rapide de commencer à utiliser ChatGPT directement à partir de votre navigateur. Bien que l'extension vous offre cela (en se connectant simplement à l'API officielle de ChatGPT), elle récolte également toutes les informations qu'elle peut obtenir de votre navigateur, vole les cookies des sessions actives autorisées de n'importe quel service que vous avez, et emploie également des tactiques adaptées pour prendre le contrôle de votre compte Facebook.

De la publicité malveillante à la propagation, en passant par l'installation d'extensions et le détournement de comptes Facebook

Une fois que l'acteur de la menace s'est emparé de vos données volées, il les vendra probablement au plus offrant, comme d'habitude. Cependant, lorsque nous avons approfondi cette opération, nous avons remarqué qu'il accordait une attention toute particulière aux comptes professionnels Facebook de premier plan. Grâce à cette approche, la campagne peut continuer à se propager avec sa propre armée de comptes robots Facebook détournés, en publiant davantage de posts sponsorisés et d'autres activités sociales au nom des profils de ses victimes et en dépensant les crédits d'argent des comptes d'entreprise !

La description de la campagne ci-dessus cache des techniques sophistiquées pour recueillir les données des victimes et prendre le contrôle des comptes Facebook. Ces techniques exploitent les services en ligne et les puissantes API de Google et de Facebook, ce qui donne à ces acteurs de la menace des outils très puissants pour réussir.

Exploitation du contexte du navigateur de la victime

Une fois l'extension installée, vous obtenez ce qui est annoncé : une petite fenêtre contextuelle s'affiche lorsque vous cliquez sur l'icône de l'extension, avec une invite à demander à ChatGPT ce que vous voulez.

Mais c'est précisément là que les choses commencent à se gâter. L'extension fait désormais partie intégrante de votre navigateur. Elle peut donc envoyer n'importe quelle requête à n'importe quel autre service - comme si le propriétaire du navigateur lui-même l'initiait à partir du même contexte. C'est un point crucial, car le navigateur, dans la plupart des cas, a déjà une session active et authentifiée avec presque tous vos services quotidiens, par exemple Facebook.

Plus précisément, cela permet à l'extension d'accéder à l'API graphique de Meta pour les développeurs, ce qui permet à l'acteur de la menace d'accéder rapidement à tous vos détails et d'entreprendre des actions en votre nom directement dans votre compte Facebook à l'aide de simples appels d'API.

Il existe bien sûr des limitations et des mesures de sécurité prises par Facebook - par exemple, s'assurer que les demandes proviennent d'un utilisateur authentifié ainsi que de l'origine pertinente. L'extension dispose déjà d'une session authentifiée avec Facebook, mais qu'en est-il de l'origine des demandes qu'elle envoie ? Grâce à l'API declarativeNetRequest de Chrome, l'extension dispose d'un moyen simple de contourner la protection de Facebook.

Le code suivant est appelé sur l'extension malveillante dès son lancement, de sorte que toutes les requêtes adressées à facebook.com par n'importe quelle source de votre navigateur (y compris l'extension elle-même) verront leurs en-têtes modifiés pour refléter l'origine "facebook.com". Cela permet à l'extension de naviguer librement sur n'importe quelle page Facebook (y compris en effectuant des appels et des actions API) à l'aide de votre navigateur infecté et sans aucune trace.

Notez que la variable d contient le domaine concerné (dans notre cas facebook.com), tel qu'il a été renvoyé à l'extension depuis le serveur C2 à api2[.]openai-service[.]workers[.]dev

Récolte des données et renvoi aux serveurs C2

Une fois que la victime a ouvert les fenêtres de l'extension et écrit une question à ChatGPT, la requête est envoyée aux serveurs OpenAI pour vous occuper, tandis qu'en arrière-plan, elle déclenche immédiatement la récolte.

Voici quelques exemples de code désobfusqué provenant de la source de l'extension malveillante. Il a été écrit en caractères et emballé/minifié, mais en utilisant les fichiers .map à l'intérieur, nous avons réussi à réassembler le code pour le rendre plus lisible - en montrant tous les noms de fonctions et de variables qui se sont révélés être vraiment informatifs et assez évidents quant aux véritables intentions de ce code dès le premier coup d'œil :

Les fonctions ci-dessus sont les principales fonctions qui exécutent différentes requêtes à l'aide de l'API Graph de Facebook ainsi que d'autres API de Chrome, comme l'obtention de tous vos cookies. Quelques exemples notables tirés du code :

L'appel à l'API Graph ci-dessus fournira aux attaquants tout ce dont ils ont besoin concernant votre compte Business Facebook (s'il est disponible), y compris vos promotions actuellement actives et votre solde de crédit. Ensuite, l'extension examine toutes les données récoltées, les prépare et les renvoie au serveur C2 à l'aide des appels API suivants - chacun en fonction de la pertinence et du type de données :

Chaque appel comprend une charge utile détaillée au format JSON avec TOUT ce dont ils ont besoin, y compris les cookies de session, le solde d'argent, etc. Ce n'est qu'un exemple rapide des données de base exfiltrées :

Exemple de données sortantes de l'extension vers C2 lors de l'appel API "add-data-account".

Exemple de données sortantes de l'extension vers C2 lors de l'appel API "add-ads-manager".

Dans le premier exemple, la liste complète des cookies a été réduite pour l'affichage, mais vous constaterez qu'il y a TOUS les cookies stockés sur votre navigateur - y compris les jetons de sécurité et de session pour des services comme YouTube, les comptes Google, Twitter, etc.
Dans le deuxième exemple, lorsque l'extension découvre que vous avez une page professionnelle, elle recueille les détails de votre compte Facebook et toute la configuration de vos publicités actuelles, ainsi que des données financières, comme indiqué ci-dessus.

Prise de contrôle de comptes à l'aide d'une application Facebook rudimentaire

Cependant, s'ils ont trouvé votre compte suffisamment intéressant (par exemple, vous avez une page professionnelle avec des tonnes de likes et un plan publicitaire avec des crédits qui attendent d'être dépensés), il est temps de prendre le contrôle de votre compte !

Un module spécialement développé dans le code de l'extension(Portal.ts) comprend une classe nommée Potal(oui, avec une faute de frappe...) qui est responsable de cette magie. Au lieu d'essayer de récupérer les mots de passe des comptes ou de contourner le système 2FA avec des jetons de session (ce qui n'est pas si facile en raison des mesures de sécurité de Facebook), cet acteur de la menace choisit un autre moyen : une application Facebook malveillante.

Une application dans l'écosystème de Facebook est généralement un service SaaS qui a été autorisé à utiliser son API spéciale, ce qui permet au service tiers d'obtenir des informations sur le compte et d'effectuer des actions en votre nom. Nous nous souvenons tous de ces applications qui polluent notre fil d'actualité avec des messages promotionnels, mais cet acteur de la menace passe à un autre niveau.

Le module Potal abuse une fois de plus du contexte de la fenêtre contextuelle ChatGPT pour envoyer des requêtes aux serveurs Facebook en votre nom - cette fois-ci, il automatise l'ensemble du processus d'enregistrement d'une application sur votre compte et l'approuve pour obtenir, en fait, un MODE ADMINISTRATEUR COMPLET.

Cet acteur de la menace utilise deux applications principales, comme le montre le code :

La première application Facebook malveillante(portail) n'est plus disponible, mais la seconde est toujours bien vivante. Pour bien comprendre ce qu'elle fait, nous avons manipulé la page des paramètres de Facebook, en remplaçant l'app_id d'une application réellement installée sur notre compte par celui utilisé par cet acteur de la menace :

Nous avons ainsi révélé son nom, son icône et, surtout, la longue (très longue) liste des autorisations accordées :

Cette application, qui pour une raison ou une autre est approuvée par Facebook et fonctionnelle, semble demander toutes les permissions disponibles ! Du contrôle total de votre profil et de votre activité Facebook aux pouvoirs d'administrateur sur tous vos groupes, pages, entreprises et, bien sûr, comptes publicitaires. Ils peuvent même gérer vos comptes WhatsApp et Instagram connectés !

De plus, elle utilise le même nom et la même icône qu'une application officielle de Facebook :

L'inscription de l'application officielle Messenger Kids par Facebook

Le processus d'automatisation de l'ajout de l'application aux comptes des victimes est visible dans cette fonction principale du module Potal . Toutes les fonctions utilisent, une fois de plus, l'API Graphique de Facebook, sans que la victime n'ait à intervenir, depuis la demande d'ajout de l'application jusqu'à la confirmation finale, en passant par l'authentification :

Cette fois, les données exfiltrées sont cryptées avant d'être renvoyées chez elles - nous supposons que cela est dû au fait que l'acteur de la menace ne vise que des cibles vraiment précieuses avec cette méthode, et qu'il utilise l'autopropagation de cette activité et d'autres activités malveillantes à l'aide de messages promus par Facebook et créés avec ces comptes.

Conclusion

Non seulement cette extension malveillante se promène librement dans le magasin officiel de Chrome (et est toujours en ligne au moment où ces lignes sont écrites), mais elle abuse également de l'API des applications officielles de Facebook d'une manière qui aurait déjà dû attirer l'attention des responsables de l'application de la politique. Sans parler des messages promotionnels faux et malveillants que Facebook approuve si facilement.

Plus de 2000 utilisateurs installent quotidiennement cette extension depuis sa première apparition le 03/03/2023 - chacun d'entre eux se fait voler son compte Facebook et ce n'est probablement pas le seul dommage.

Google autorise toujours la publicité malveillante dans ses résultats de recherche promus, YouTube n'arrive pas à se débarrasser de ces chaînes détournées qui font la promotion de Cryptoscams, et Facebook autorise de fausses applications gourmandes en autorisations qui imitent les propres applications de Facebook !

Ces activités sont probablement là pour durer. Nous devons donc être plus vigilants, même lors de notre navigation quotidienne : ne cliquez pas sur le premier résultat de recherche et veillez à ne pas cliquer sur des liens ou des messages sponsorisés, à moins d'être sûr de leur auteur !

CIO

Cet article a été publié en collaboration avec Guardio Labs.

Source de l'image : Unsplash.com