"FakeGPT": Nieuwe variant van Fake-ChatGPT Chrome-extensie steelt Facebook-advertentieaccounts

De vicieuze cirkel van gekaapte Facebook-malvertenties

Ons veiligheidsonderzoeksteam bij Guardio houdt voortdurend de activiteit rond het merkmisbruik van ChatGPT in de gaten, met eindeloze campagnes die malware verspreiden en phishing voor je creditcards. Op 3/3/2023 detecteerde ons team een nieuwe variant van een kwaadaardige nep ChatGPT browserextensie, die deel uitmaakt van een campagne die begin februari van start ging met verschillende andere kwaadaardige extensies van het merk ChatGPT. Deze keer geüpgraded met een dreigende techniek om je Facebook accounts over te nemen evenals een geraffineerde worm-achtige aanpak voor verspreiding.

De kwaadaardige stealer-extensie, getiteld "Snelle toegang tot ChatGPT" wordt gepromoot op Facebook-gesponsorde berichten als een snelle manier om aan de slag te gaan met ChatGPT rechtstreeks vanuit je browser. Hoewel de extensie je dat geeft (door simpelweg verbinding te maken met de officiële ChatGPT's API) oogst het ook alle informatie die het uit je browser kan halen, steelt het cookies van geautoriseerde actieve sessies op elke service die je hebt en gebruikt het ook op maat gemaakte tactieken om je Facebook-account over te nemen.

Van malvertising, installatie van extensies, kapen van Facebook-accounts en weer terug naar verspreiding

Zodra de Threat Actor eigenaar is van je gestolen gegevens, zal hij deze waarschijnlijk zoals gewoonlijk aan de hoogste bieder verkopen, maar terwijl we dieper in deze operatie doken, hebben we hun extra zorg voor zakelijke accounts met een hoog profiel op Facebook opgemerkt. Met deze aanpak kan de campagne zich blijven verspreiden met zijn eigen leger van gekaapte Facebook bot accounts, meer gesponsorde berichten en andere sociale activiteiten publiceren namens de profielen van zijn slachtoffers en credits voor zakelijke accounts uitgeven!

De bovenstaande campagnebeschrijving op hoog niveau verbergt enkele geavanceerde technieken om de gegevens van slachtoffers te verzamelen en Facebook-accounts over te nemen. Deze maken misbruik van online services en krachtige API's van zowel Google als Facebook, waardoor deze bedreigingsactoren een aantal zeer krachtige hulpmiddelen voor succes hebben.

De browsercontext van het slachtoffer misbruiken

Zodra de extensie is geïnstalleerd, geeft het je wat wordt geadverteerd - een klein pop-upvenster dat verschijnt nadat je op het pictogram van de extensie hebt geklikt, met een prompt om ChatGPT te vragen wat je maar wilt.

Maar dit is precies waar het verdacht begint te worden. De extensie is nu een integraal onderdeel van je browser. Het kan dus elk verzoek naar elke andere service sturen - alsof de eigenaar van de browser dit zelf initieert vanuit dezelfde context. Dit is cruciaal, omdat de browser in de meeste gevallen al een actieve en geauthenticeerde sessie heeft met bijna al je dagelijkse services, zoals Facebook.

Meer in het bijzonder krijgt de extensie hierdoor toegang tot Meta's Graph API voor ontwikkelaars, waardoor de bedreigende actor snel toegang krijgt tot al je gegevens en ook direct namens jou acties kan uitvoeren in je Facebook-account met behulp van eenvoudige API-aanroepen.

Er zijn natuurlijk beperkingen en beveiligingsmaatregelen die Facebook neemt, bijvoorbeeld om ervoor te zorgen dat de verzoeken afkomstig zijn van een geauthenticeerde gebruiker en van de relevante oorsprong. De extensie heeft al een geauthenticeerde sessie met Facebook, maar hoe zit het met de oorsprong van de verzoeken die het verstuurt? Nou, dankzij de declarativeNetRequest API van Chrome heeft de extensie een eenvoudige manier om de bescherming van Facebook te omzeilen.

Het volgende stukje code wordt direct bij het opstarten van de kwaadaardige extensie aangeroepen en zorgt ervoor dat de headers van alle verzoeken naar facebook.com die door welke bron dan ook in je browser worden gedaan (inclusief de extensie zelf), worden gewijzigd zodat ook de oorsprong "facebook.com" is. Dit geeft de extensie de mogelijkheid om vrijelijk op elke Facebook-pagina te browsen (inclusief API-aanroepen en acties) met behulp van je geïnfecteerde browser en zonder enig spoor.

Merk op dat de variabele d het relevante domein bevat (in ons geval facebook.com), zoals teruggestuurd naar de extensie vanaf de C2-server op api2[.]openai-service[.]workers[.]dev

Gegevens verzamelen en terugsturen naar C2-servers

Nu, zodra het slachtoffer de extensievensters opent en een vraag naar ChatGPT schrijft, wordt de vraag naar OpenAIs servers gestuurd om je bezig te houden - terwijl het op de achtergrond onmiddellijk de harvest activeert.

Hieronder volgen enkele voorbeelden van gedefragmenteerde code van de kwaadaardige extensiebron. De code was geschreven in typescript en ingepakt/verkleind, maar met behulp van de .map-bestanden binnenin zijn we erin geslaagd om de code opnieuw samen te stellen zodat deze leesbaarder werd - waarbij alle functie- en variabelenamen werden getoond die echt informatief bleken te zijn en op het eerste gezicht duidelijk aangaven wat de werkelijke bedoelingen van deze code waren:

Het bovenstaande zijn de belangrijkste functies die verschillende query's uitvoeren met behulp van Facebook's Graph API en andere Chrome API's zoals het ophalen van al je cookies. Opmerkelijke voorbeelden uit de code:

De bovenstaande Graph API-aanroep geeft de aanvallers alles wat ze nodig hebben over je zakelijke Facebook-account (indien beschikbaar), inclusief je huidige actieve promoties en tegoed. Later onderzoekt de extensie alle verzamelde gegevens, bereidt ze voor en stuurt ze terug naar de C2-server met behulp van de volgende API-aanroepen - elk volgens relevantie en gegevenstype:

Elke oproep bevat een gedetailleerde payload in JSON-formaat met ALLES wat ze nodig hebben, inclusief sessiecookies, geldsaldo en wat al niet meer. Gewoon een snel voorbeeld van de basisgegevens die worden geëxfiltreerd:

Voorbeeld van uitgaande gegevens van de extensie naar C2 op API-aanroep "add-data-account".

Voorbeeld van uitgaande gegevens van de extensie naar C2 op API-aanroep "add-ads-manager".

In het eerste voorbeeld is de volledige lijst met cookies verkleind voor weergave, maar je zult zien dat er ALLE cookies in je browser zijn opgeslagen - inclusief beveiligings- en sessietokens voor services als YouTube, Google-accounts, Twitter, enz.
In het tweede voorbeeld - zodra de extensie ontdekt dat je een bedrijfspagina hebt, verzamelt het je Facebook-accountgegevens en al je huidige advertentieconfiguraties en financiële gegevens, zoals hierboven te zien is.

Accounts overnemen met een ruwe Facebook-toepassing

Nu hebben de bedreigers genoeg gegevens om winst mee te maken - En toch, als ze je account interessant genoeg vonden voor zichzelf (je hebt bijvoorbeeld een bedrijfspagina met tonnen likes en een advertentieplan met credits die wachten om te worden uitgegeven) - is het tijd om over te nemen en de controle te krijgen!

Een speciaal ontwikkelde module in de uitbreidingscode(Portal.ts) bevat een klasse met de naam Potal(ja, met een typfout...) die verantwoordelijk is voor deze magie. In plaats van te proberen accountwachtwoorden te verzamelen of te proberen 2FA te omzeilen met sessietokens (wat niet zo eenvoudig is vanwege de beveiligingsmaatregelen van Facebook), kiest deze bedreigingsactor voor een andere manier - een kwaadaardige Facebook-toepassing.

Een applicatie in het ecosysteem van Facebook is meestal een SaaS-service die is goedgekeurd om de speciale API te gebruiken, waardoor de externe service accountgegevens kan krijgen en acties kan uitvoeren namens jou. We herinneren ons allemaal die apps die onze feed spammen met reclameposts, maar deze bedreigende actor tilt het naar een ander niveau.

De Potal-module maakt opnieuw misbruik van de ChatGPT-pop-upcontext om namens jou verzoeken naar Facebook-servers te sturen - dit keer wordt het hele proces van het registreren van een app op je account en het goedkeuren ervan geautomatiseerd om in feite een volledige ADMIN-modus te krijgen .

Deze bedreigende actor gebruikt 2 belangrijke apps, zoals te zien is in de code:

De eerste schadelijke Facebook-app(portal) is niet meer beschikbaar, maar de tweede is nog springlevend. Om echt te begrijpen wat deze app doet, hebben we de instellingenpagina van Facebook gemanipuleerd en de app_id van een echt geïnstalleerde app op ons account gewijzigd in de app die door deze bedreigingsacteur wordt gebruikt:

Op deze manier hebben we de naam, het pictogram en het belangrijkste - de lange (echt lange) lijst met toegekende rechten onthuld:

Deze app, die om de een of andere reden is goedgekeurd door Facebook en functioneel is, lijkt alle beschikbare toestemmingen aan te vragen! Van volledige controle over je Facebook-profiel en -activiteiten tot beheerbevoegdheden over al je groepen, pagina's, bedrijven en natuurlijk advertentieaccounts. Ze kunnen zelfs je gekoppelde WhatsApp- en Instagram-accounts beheren !

Bovendien gebruikt het dezelfde naam en hetzelfde pictogram als een officiële app van Facebook:

De vermelding van de officiële Messenger Kids app door Facebook

Het proces van het automatiseren van het toevoegen van de app aan de accounts van de slachtoffers is te zien in deze hoofdfunctie van de Potal-module . Alle functies hier maken gebruik van, wederom, de Facebook Graph API zonder dat er enige interactie nodig is van het slachtoffer - vanaf het verzoek om de applicatie toe te voegen, via de authenticatie en de uiteindelijke bevestiging:

Deze keer worden de geëxfiltreerde gegevens versleuteld voordat ze terug naar huis worden gestuurd - we gaan ervan uit dat dit komt doordat de dreigingsactor zich alleen richt op echt waardevolle doelwitten met deze methode, en voor hun gebruik van zelfverspreiding van deze en andere kwaadaardige activiteiten met behulp van Facebook-gepromote berichten die zijn gemaakt met die accounts.

Conclusie

Niet alleen is deze schadelijke extensie vrij aanwezig in de officiële Chrome store (en nog steeds actief op het moment dat deze regels worden geschreven), maar het misbruikt ook de officiële API voor toepassingen van Facebook op een manier die de aandacht van de handhavers van het beleid al had moeten trekken. En dan hebben we het nog niet eens over de valse en kwaadaardige gepromote berichten die zo gemakkelijk door Facebook worden goedgekeurd.

Er zijn meer dan 2000 gebruikers die deze extensie dagelijks installeren sinds het voor het eerst verscheen op 03/03/2023 - van elk van hen wordt het Facebook-account gestolen en waarschijnlijk is dit niet de enige schade.

We zien de laatste tijd een lastige klap op het vertrouwen dat we blindelings geven aan de bedrijven en grote namen die verantwoordelijk zijn voor het merendeel van onze online aanwezigheid en activiteiten - Google staat nog steeds malvertising toe op zijn gepromote zoekresultaten, en YouTube kan zich niet ontdoen van die gekaapte kanalen die Cryptoscams promoten, en Facebook staat toestemmingsgeile nepapplicaties toe die Facebooks eigen apps nabootsen!

Deze activiteiten zullen waarschijnlijk blijven bestaan. We moeten dus waakzamer zijn, zelfs bij onze dagelijkse casual browsing - klik niet op het eerste zoekresultaat en zorg er altijd voor dat je niet klikt op gesponsorde links en berichten, tenzij je vrij zeker weet wie erachter zit!

IOC's

Dit artikel is gepubliceerd in samenwerking met Guardio Labs

Beeldbron: Unsplash.com