"FakeGPT": Nuova variante dell'estensione Chrome Fake-ChatGPT che ruba gli account pubblicitari di Facebook

Il circolo vizioso del malvertising di Facebook dirottato

Il nostro team di ricerca sulla sicurezza di Guardio monitora costantemente l'attività che circonda l'abuso del marchio ChatGPT, con infinite campagne di propagazione di malware e phishing per le vostre carte di credito. Il 3/3/2023, il nostro team ha rilevato una nuova variante di una falsa estensione dannosa per il browser ChatGPT, parte di una campagna iniziata all'inizio di febbraio con diverse altre estensioni dannose a marchio ChatGPT. Questa volta è stata aggiornata con una tecnica minacciosa per impossessarsi dei vostri account Facebook e un approccio sofisticato di tipo worm per la propagazione.

L'estensione ruba-documenti, intitolata "Quick access to Chat GPT" (Accesso rapido a Chat GPT), viene promossa su post sponsorizzati da Facebook come un modo rapido per iniziare a utilizzare ChatGPT direttamente dal browser. Anche se l'estensione offre questo (semplicemente connettendosi all'API ufficiale di ChatGPT), raccoglie anche tutte le informazioni che può prendere dal vostro browser, ruba i cookie delle sessioni attive autorizzate di qualsiasi servizio che avete e impiega anche tattiche su misura per impossessarsi del vostro account Facebook.

Dal malvertising, all'installazione di estensioni, al dirottamento degli account Facebook, fino alla propagazione.

Una volta che l'attore della minaccia si è impossessato dei vostri dati rubati, probabilmente li venderà al miglior offerente come al solito, ma mentre scavavamo più a fondo in questa operazione abbiamo notato la loro particolare attenzione agli account aziendali Facebook di alto profilo. Con questo approccio, la campagna può continuare a propagarsi con il proprio esercito di account bot di Facebook dirottati, pubblicando altri post sponsorizzati e altre attività sociali per conto dei profili delle vittime e spendendo i crediti di denaro degli account aziendali!

La descrizione di alto livello della campagna sopra riportata nasconde al suo interno alcune tecniche sofisticate per raccogliere i dettagli delle vittime e prendere il controllo degli account Facebook. Queste tecniche abusano dei servizi online e delle potenti API di Google e Facebook, fornendo agli attori delle minacce alcuni strumenti molto potenti per il successo.

Abuso del contesto del browser della vittima

Una volta installata, l'estensione offre ciò che viene pubblicizzato: una piccola finestra popup che appare dopo aver cliccato sull'icona dell'estensione, con la richiesta di chiedere a ChatGPT ciò che si desidera.

Tuttavia, è proprio qui che la situazione inizia a farsi sospetta. L'estensione è ora parte integrante del vostro browser. Pertanto, può inviare qualsiasi richiesta a qualsiasi altro servizio, come se fosse lo stesso proprietario del browser ad avviarla dallo stesso contesto. Si tratta di un aspetto cruciale, poiché il browser, nella maggior parte dei casi, ha già una sessione attiva e autenticata con quasi tutti i servizi quotidiani, ad esempio Facebook.

Più specificamente, ciò consente all'estensione di accedere all'API Graph di Meta per gli sviluppatori, permettendo all'attore della minaccia di accedere rapidamente a tutti i vostri dati e di intraprendere azioni per vostro conto direttamente nel vostro account Facebook, utilizzando semplici chiamate API.

Naturalmente ci sono limitazioni e misure di sicurezza adottate da Facebook, ad esempio per assicurarsi che le richieste provengano da un utente autenticato e dall'origine pertinente. L'estensione ha già una sessione autenticata con Facebook, ma che dire dell'origine delle richieste che invia? Beh, grazie all'API declarativeNetRequest di Chrome, l'estensione ha un modo semplice per aggirare la protezione di Facebook.

Il seguente pezzo di codice viene richiamato sull'estensione dannosa all'avvio, facendo in modo che tutte le richieste inviate a facebook.com da qualsiasi fonte del browser (compresa l'estensione stessa) abbiano le intestazioni modificate per riflettere l'origine "facebook.com". In questo modo l'estensione ha la possibilità di navigare liberamente su qualsiasi pagina di Facebook (comprese le chiamate API e le azioni) utilizzando il browser infetto e senza alcuna traccia.

Si noti che la variabile d contiene il dominio pertinente (nel nostro caso facebook.com), come è stato rinviato all'estensione dal server C2 all'indirizzo api2[.]openai-service[.]workers[.]dev

Raccolta dei dati e invio ai server C2

Ora, una volta che la vittima apre le finestre dell'estensione e scrive una domanda a ChatGPT, la domanda viene inviata ai server OpenAIs per tenerla occupata - mentre in background si attiva immediatamente la raccolta.

Di seguito sono riportati alcuni esempi di codice deobfuscato dal sorgente dell'estensione dannosa. È stato scritto in dattiloscritto e impacchettato/minificato, ma utilizzando i file .map all'interno siamo riusciti a riassemblare il codice in modo da renderlo più leggibile, mostrando tutti i nomi delle funzioni e delle variabili che sono risultati veramente informativi e abbastanza ovvi alle reali intenzioni di questo codice a prima vista:

Queste sono le funzioni principali che eseguono diverse query utilizzando l'API Graph di Facebook e altre API di Chrome, come l'acquisizione di tutti i cookie. Un esempio degno di nota dal codice:

La chiamata API Graph di cui sopra fornirà agli aggressori tutto ciò di cui hanno bisogno sul vostro account Business Facebook (se disponibile), comprese le promozioni attualmente attive e il saldo del credito. In seguito, l'estensione esamina tutti i dati raccolti, li prepara e li invia al server C2 utilizzando le seguenti chiamate API, ciascuna in base alla rilevanza e al tipo di dati:

Ogni chiamata include un payload dettagliato in formato JSON con TUTTO ciò di cui hanno bisogno, compresi i cookie di sessione, il saldo del denaro e quant'altro. Solo un rapido esempio dei dati di base che vengono esfiltrati:

Esempio di dati in uscita dall'estensione a C2 sulla chiamata API "add-data-account".

Esempio di dati in uscita dall'estensione a C2 sulla chiamata API "add-ads-manager".

Nel primo esempio, l'elenco completo dei cookie è stato ridotto per la visualizzazione, ma si può notare che ci sono TUTTI i cookie memorizzati sul browser, compresi i token di sicurezza e di sessione per servizi come YouTube, account Google, Twitter, ecc.
Nel secondo esempio, una volta che l'estensione scopre che avete una pagina aziendale, raccoglierà i dettagli del vostro account Facebook e tutta la configurazione degli annunci attuali, nonché i dati finanziari, come visto sopra.

Impossessarsi degli account con un'applicazione di Facebook approssimativa

Ora gli attori della minaccia hanno abbastanza dati da cui trarre profitto - e tuttavia, se hanno trovato il vostro account abbastanza interessante per loro stessi (ad esempio, avete una pagina aziendale con tonnellate di like e un piano pubblicitario con crediti in attesa di essere spesi) - è il momento di prendere il controllo!

Un modulo appositamente sviluppato nel codice dell'estensione(Portal.ts) include una classe chiamata Potal(sì, con un errore di battitura...) che è la responsabile di questa magia. Invece di cercare di raccogliere le password degli account o di bypassare la 2FA con i token di sessione (cosa non così facile a causa delle misure di sicurezza di Facebook), questo attore di minacce sceglie un'altra strada: un' applicazione dannosa di Facebook.

Un'applicazione nell'ecosistema di Facebook è di solito un servizio SaaS che è stato approvato per l'utilizzo della sua API speciale, consentendo al servizio di terze parti di ottenere informazioni sull'account e di eseguire azioni per conto dell'utente. Tutti ricordiamo le applicazioni che spammano il nostro feed con post promozionali, ma questa minaccia sta passando a un altro livello.

Il modulo Potal, ancora una volta, abusa del contesto del popup ChatGPT per inviare richieste ai server di Facebook per conto dell'utente, questa volta automatizzando l'intero processo di registrazione di un'app sul proprio account e approvandola per ottenere, in pratica, una MODALITÀ ADMIN COMPLETA.

Questo attore della minaccia utilizza due app principali, come si vede nel codice:

La prima app dannosa di Facebook(portale) non è più disponibile, mentre la seconda è ancora viva e vegeta. Per capire cosa fa, abbiamo manipolato la pagina delle impostazioni di Facebook, cambiando l'app_id di un'app realmente installata sul nostro account con quella utilizzata da questo attore di minacce:

In questo modo abbiamo rivelato il nome, l'icona e, cosa più importante, il lungo (lunghissimo) elenco dei permessi concessi:

Questa applicazione, che per qualche motivo è effettivamente approvata da Facebook e funzionante, sembra richiedere tutti i permessi disponibili! Dal controllo completo del vostro profilo e delle vostre attività su Facebook ai poteri di amministrazione su tutti i vostri gruppi, pagine, aziende e, naturalmente, account pubblicitari. Può persino gestire gli account WhatsApp e Instagram collegati !

Inoltre, utilizza lo stesso nome e la stessa icona di un'app ufficiale di Facebook:

L'elenco dell'applicazione ufficiale Messenger Kids di Facebook

Il processo di automazione dell'aggiunta dell'applicazione agli account delle vittime è visibile in questa funzione principale del modulo Potal . Tutte le funzioni utilizzano, ancora una volta, l'API Graph di Facebook senza alcuna interazione da parte della vittima: dalla richiesta di aggiunta dell'applicazione, all'autenticazione e alla conferma finale:

Questa volta, i dati esfiltrati vengono crittografati prima di essere inviati a casa - supponiamo che ciò sia dovuto al fatto che l'attore delle minacce si rivolge solo a bersagli veramente preziosi con questo metodo, e per l'uso dell'auto-propagazione di questa e altre attività dannose utilizzando post promossi da Facebook creati con quegli account.

Conclusione

Questa estensione dannosa non solo è libera di circolare nello store ufficiale di Chrome (ed è ancora attiva mentre scriviamo queste righe), ma sta anche abusando dell'API delle applicazioni ufficiali di Facebook in un modo che avrebbe già dovuto suscitare l'attenzione dei responsabili delle politiche. Per non parlare dei post promossi falsi e malevoli che vengono approvati così facilmente da Facebook.

Sono più di 2000 gli utenti che installano quotidianamente questa estensione dalla sua prima apparizione il 03/03/2023 - ognuno di loro subisce il furto del proprio account Facebook e probabilmente questo non è l'unico danno.

Ultimamente stiamo assistendo a un fastidioso colpo alla fiducia che siamo soliti dare ciecamente alle aziende e ai grandi nomi che sono responsabili della maggior parte della nostra presenza e attività online - Google permette ancora il malvertising nei suoi risultati di ricerca promossi, e YouTube non riesce a liberarsi di quei canali dirottati che promuovono le Cryptoscam, e Facebook permette applicazioni false affamate di permessi che imitano le applicazioni di Facebook stesso!

Queste attività sono probabilmente destinate a rimanere. Pertanto, dobbiamo essere più vigili anche nella nostra navigazione quotidiana - non cliccate sul primo risultato di ricerca e assicuratevi sempre di non cliccare su link e post sponsorizzati a meno che non siate abbastanza sicuri di chi ci sia dietro!

CIO

Questo articolo è stato pubblicato in collaborazione con Guardio Labs

Fonte immagine: Unsplash.com