"FakeGPT #2: open bron wordt kwaadaardig in een andere variant van de Facebook-accountsteler Chrome-extensie

Enkele uren na Guardio's melding bij Google is de extensie nu verwijderd uit de Chrome store. Ten tijde van de verwijdering werd aangegeven dat meer dan 9000 gebruikers de extensie hadden geïnstalleerd.

Van open bron naar kwaadaardige bron

De nieuwe variant van de FakeGPT Chrome-extensie, getiteld "Chat GPT For Google", richt zich opnieuw op je Facebook-accounts onder het mom van een ChatGPT-integratie voor je browser. Deze keer hoefden bedreigers niet hard te werken aan het uiterlijk van deze kwaadaardige extensie met ChatGPT-thema - ze hebben gewoon een bekend open-source project dat precies dat doet, geforked en bewerkt. Van nul tot "held" in waarschijnlijk minder dan 2 minuten.

Links: De "FakeGPT"-variant in de Chrome Store. Rechts: De echte "ChatGPT for Google"-extensie

De echte "ChatGPT For Google"-extensie is gebaseerd op dit open-sourceproject, dat de afgelopen maanden aan populariteit en miljoenen gebruikers heeft gewonnen. Als open-source project is het bedoeld om kennis te delen en bij te dragen aan de gemeenschap van ontwikkelaars - maar ze wisten niet dat het zo gemakkelijk misbruikt zou worden voor kwaadaardige activiteiten.

Een Stealer geduwd met Google's Gesponsorde Zoekopdracht

Deze keer wordt de kwaadaardige extensie niet gepushed via gesponsorde Facebook posts, maar eerder via kwaadaardige gesponsorde Google zoekresultaten, zoals we de laatste tijd bij veel andere activiteiten hebben gezien.

Je zoekt dus naar "Chat GPT 4" om het nieuwe algoritme uit te testen en klikt uiteindelijk op een gesponsord zoekresultaat dat je precies dat belooft. Dit leidt je door naar een landingspagina die je ChatGPT aanbiedt binnen je zoekresultatenpagina - je hoeft alleen nog maar de extensie te installeren vanuit de officiële Chrome Store. Dit geeft je toegang tot ChatGPT vanuit de zoekresultaten, maar compromitteert ook je Facebook-account in een oogwenk!

Aanvalsstroom van Google Zoeken naar gecompromitteerde Facebook-accounts

Versleuteld afluisteren van cookies via valse HTTP-headers

Gebaseerd op versie 1.16.6 van het open-source project, voert deze FakeGPT-variant slechts één specifieke kwaadaardige actie uit, direct na installatie, en de rest is in principe hetzelfde als de echte code - waardoor er geen reden tot verdenking is.

De echte ChatGPT voor Google Open-Source Project pagina op GitHub

Als we kijken naar de OnInstalled handler functie die wordt geactiveerd zodra de extensie is geïnstalleerd, zien we dat de echte extensie deze alleen gebruikt om ervoor te zorgen dat je het optiescherm te zien krijgt (om in te loggen op je OpenAI account). Aan de andere kant gebruikt de gevorkte, kwaadaardige code precies dit moment om je sessiecookies te stelen - zoals we kunnen zien in dit deobfuscated codevoorbeeld van de kwaadaardige extensie

Wat we hier zien is regelrechte Cookie-Hijacking, wederom gericht op Facebook, zoals te zien is in het volgende codefragment waar de functie et() Facebook-gerelateerde cookies filtert uit de volledige lijst die is verkregen met de Chrome Extension API. Later wordt xa() gebruikt om alles te versleutelen met AES met de sleutel "chatgpt4google":

Zodra de lijst klaar is, wordt deze verzonden met een GET verzoek naar de C2 server die gehost wordt op de workers.dev service, dezelfde service die we hebben gezien op de originele variant van FakeGPT.

De cookies lijst is versleuteld met AES en gekoppeld aan de X-Cached-Key HTTP header waarde. Deze techniek wordt hier gebruikt om te proberen de cookies naar buiten te smokkelen zonder dat DPI-mechanismen (Deep Packet Inspection) waarschuwingen geven op de payload van het pakket (daarom is deze ook versleuteld).
Merk alleen op dat er geen X-Cached-Key Header is in het HTTP-protocol! Er is een X-Cache-Key header (zonder de 'd') die wordt gebruikt voor antwoorden, niet voor verzoeken. Maar dit stoort de oplichters niet, die krijgen precies wat ze nodig hebben van gecompromitteerde browsers:

Als we de Header-waarde ontcijferen, krijgen we een gemakkelijk leesbare lijst van alle huidige Facebook-sessiecookies die actief zijn in de browser, die er ongeveer zo uitziet (verkleinde lijst):

Op het bovenstaande verzoek antwoordt de C2-server met een algemene 404-fout en dat is het - " Al uw Facebook is van ons!".

Van Cookie-Sneaking tot Facebook-Hijacking

Voor bedreigingsactoren zijn de mogelijkheden eindeloos - je profiel gebruiken als bot voor reacties, 'vind ik leuk'-berichten en andere promotionele activiteiten, of pagina's en advertentieaccounts maken met behulp van jouw reputatie en identiteit terwijl ze diensten promoten die zowel legitiem als waarschijnlijk meestal niet legitiem zijn.

Met deze cookies kan je Facebook-sessie snel worden ingehaald, je inloggegevens voor je basisaccount worden gewijzigd en vanaf dit punt verlies je de controle over je profiel zonder dat je deze kunt herstellen. Dit wordt gevolgd door het automatisch veranderen van de profielnaam en foto - waarschijnlijk in weer een andere nep "Lilly Collins" (wat hun favoriet lijkt te zijn) en natuurlijk, je privégegevens geoogst (voor meer winst) en voorgoed gewist om ruimte te maken voor kwaadaardigheid.

We hebben de laatste tijd zoveel gebruikersprofielen gezien die hiervoor vielen, waarvan velen later werden misbruikt voor het pushen van meer kwaadaardige activiteiten binnen het Facebook eco-systeem en zelfs eenvoudige propaganda van de ergste soort.

Een behoorlijk brutaal voorbeeld om dit alles te visualiseren is deze bedrijfspagina van RV-selling die op 4 maart 2023 werd gekaapt. Deze is nog steeds beschikbaar op de oorspronkelijke URL https://www[.]facebook[.]com/shadymaplefarmmarket en wordt nu gebruikt om ISIS-content te promoten. Zie hoe Lily Collins automatisch wordt toegevoegd als profielfoto onmiddellijk nadat ze is gekaapt (waarschijnlijk door een geautomatiseerd systeem dat wordt gebruikt door scammers). Dit wordt later bijgewerkt naar ISIS-thema foto's, mogelijk nadat het is verkocht aan een andere acteur die dit soort inhoud wil verspreiden met behulp van high-profile gestolen Facebook accounts:

Voorbeeld van een gekaapte Facebookpagina die wordt gebruikt om ISIS-inhoud te promoten

Last but not Least

Het misbruik van het merk en de populariteit van ChatGPT blijft maar toenemen en wordt niet alleen gebruikt voor het harvesten van Facebook-accounts en niet alleen met kwaadaardige nep-extensies voor Chrome. Belangrijke diensten van Facebook, Google en andere grote namen worden voortdurend aangevallen en misbruikt, terwijl wij, de gebruikers, uiteindelijk het meest worden getroffen.

Bewustwording is een cruciale factor in het ontwijken van deze aanvallen en het privé houden van je gegevens, maar tegenwoordig wordt het steeds duidelijker dat er zelfs voor thuis-/casual internetgebruikers een soort beveiligings- en opsporingsservices moeten zijn die relevanter en gerichter zijn voor hun behoeften - om die enorme beveiligingsgaten te dichten die gebruikers massaal treffen.

Lees meer over de "FakeGPT"-campagne:

"FakeGPT": Nieuwe variant van Fake-ChatGPT Chrome-extensie steelt Facebook-advertentieaccounts met duizenden dagelijkse installaties

IOC's

Dit artikel is gepubliceerd in samenwerking met Guardio Labs.

Afbeeldingsbron: unsplash.com