"FakeGPT" #2: O código aberto tornou-se malicioso noutra variante da extensão do Chrome que rouba contas do Facebook

Header

Autor: Nati Tal

março 24, 2023

Poucas horas depois do relatório de Guardio à Google, a extensão foi removida da loja do Chrome. Na altura da remoção, foi declarado que mais de 9000 utilizadores a tinham instalado.

De código aberto a código malicioso

A nova variante da extensão FakeGPT para o Chrome, intitulada "Chat GPT For Google", está mais uma vez a visar as suas contas do Facebook sob a capa de uma integração ChatGPT para o seu navegador. Desta vez, os agentes da ameaça não tiveram de trabalhar arduamente na aparência desta extensão maliciosa com o tema ChatGPT - apenas bifurcaram e editaram um conhecido projeto de código aberto que faz exatamente isso. Do zero ao "herói" em provavelmente menos de 2 minutos.

Esquerda: A variante "FakeGPT" na Chrome Store. À direita: A extensão genuína "ChatGPT for Google


A extensão genuína "ChatGPT For Google" é baseada neste projeto Open-Source, que ganhou popularidade e milhões de utilizadores nos últimos meses. Sendo um projeto de código aberto, destina-se a partilhar conhecimentos e a contribuir para a comunidade de programadores - mal sabiam eles que seria abusado tão facilmente para actividades maliciosas.

Um ladrão empurrado com a Pesquisa Patrocinada do Google

Desta vez, a extensão maliciosa não é enviada através de posts patrocinados no Facebook, mas sim através de resultados de pesquisa patrocinados e maliciosos do Google, como vimos em muitas outras actividades ultimamente.

Assim, o utilizador pesquisa por "Chat GPT 4", ansioso por testar o novo algoritmo, acabando por clicar num resultado de pesquisa patrocinado que lhe promete isso mesmo. Isto redirecciona-o para uma página de destino que lhe oferece o ChatGPT mesmo dentro da sua página de resultados de pesquisa - tudo o que resta é instalar a extensão a partir da Chrome Store oficial. Isto dar-lhe-á acesso ao ChatGPT a partir dos resultados de pesquisa, mas também comprometerá a sua conta do Facebook num instante!

Fluxo de ataque da Pesquisa Google para contas do Facebook comprometidas


Roubo de cookies encriptados através de cabeçalhos HTTP falsos

Baseada na versão 1.16.6 do projeto open-source, esta variante do FakeGPT executa apenas uma ação maliciosa específica, logo após a instalação, e o resto é basicamente igual ao código genuíno - não deixando razões para suspeitar.

A página genuína do projeto de código aberto ChatGPT for Google no GitHub

Olhando para a função do manipulador OnInstalled que é acionada assim que a extensão é instalada, vemos que a extensão genuína apenas a usa para garantir que você veja a tela de opções (para fazer login na sua conta OpenAI). Por outro lado, o código bifurcado, que se tornou malicioso, está a explorar este momento exato para roubar os seus cookies de sessão - como podemos ver neste exemplo de código desofuscado da extensão maliciosa

O que vemos aqui é um simples Cookie-Hijacking, dedicado mais uma vez ao Facebook, como pode ser visto no seguinte trecho de código onde a função et() está a filtrar os cookies relacionados com o Facebook da lista completa adquirida com a API de extensão do Chrome. Mais tarde, xa()é usada para encriptar tudo com AES usando a chave "chatgpt4google":

Quando a lista está pronta, é enviada com um pedido GET para o servidor C2 alojado no serviço workers.dev, o mesmo serviço que vimos na variante original do FakeGPT.

A lista de cookies é encriptada com AES e anexada ao valor do cabeçalho HTTP X-Cached-Key. Esta técnica é usada aqui para tentar retirar os cookies sem que nenhum mecanismo de DPI (Deep Packet Inspection) emita alertas sobre o payload do pacote (razão pela qual também está encriptado).
Note-se apenas que não existe um cabeçalho X-Cached-Key no protocolo HTTP! Existe um cabeçalho X-Cache-Key (sem o 'd') usado para respostas, não para pedidos. Mas isso não incomoda os golpistas que obtêm exatamente o que precisam de navegadores comprometidos:

A desencriptação do valor do cabeçalho dá-nos esta lista de fácil leitura de todos os cookies de sessão do Facebook activos no browser, com o seguinte aspeto (lista reduzida):

Ao pedido acima, o servidor C2 responde com um erro 404 genérico e pronto - " All Your Facebook are belong to us!".

De Cookie-Sneaking a Facebook-Hijacking

Para os agentes de ameaças, as possibilidades são infinitas - utilizar o seu perfil como um bot para comentários, gostos e outras actividades promocionais, ou criar páginas e contas de publicidade utilizando a sua reputação e identidade enquanto promovem serviços que são legítimos e, provavelmente, na sua maioria, não o são.

Com esses cookies, a sessão do Facebook pode ser rapidamente ultrapassada, os detalhes básicos de login da conta podem ser alterados e, a partir daí, o utilizador perde o controlo sobre o seu perfil, sem qualquer forma de o recuperar. Seguir-se-á a alteração automática do nome e da fotografia do perfil - provavelmente para mais uma falsa "Lilly Collins" (que parece ser a preferida deles) e, claro, a recolha dos seus dados privados (para mais lucro) e a sua eliminação definitiva para dar lugar à malícia.

Ultimamente, temos visto muitos perfis de utilizadores a cair nesta armadilha, muitos dos quais são mais tarde utilizados para promover mais actividades maliciosas dentro do ecossistema do Facebook e até propaganda pura e simples do pior tipo.

Um exemplo bastante brutal para visualizar tudo isto é esta página comercial da RV-selling sequestrada a 4 de março de 2023. Ainda está disponível no URL original https://www[.]facebook[.]com/shadymaplefarmmarket e é agora utilizada para promover conteúdos do ISIS. Ver como Lily Collins é automaticamente adicionada como imagem de perfil imediatamente após ter sido desviada (provavelmente por um sistema automático utilizado por burlões). Mais tarde, a foto é actualizada para imagens com o tema do ISIS, possivelmente depois de ter sido vendida a outro ator que pretende propagar este tipo de conteúdo utilizando contas roubadas de alto perfil no Facebook:

Exemplo de uma página empresarial do Facebook pirateada, utilizada para promover conteúdos do ISIS


Por último, mas não menos importante

A utilização indevida da marca e da popularidade do ChatGPT não pára de aumentar, sendo utilizada não só para a recolha de contas do Facebook, mas também com falsas extensões maliciosas para o Chrome. Os principais serviços oferecidos pelo Facebook, Google e outros grandes nomes estão sob ataque e abuso contínuos, enquanto que, no final de tudo, os mais atingidos somos nós, os utilizadores.

A consciencialização é um fator crucial para evitar esses ataques e manter a privacidade dos dados. No entanto, hoje em dia, é cada vez mais óbvio que, mesmo para os utilizadores domésticos/casuais da Internet, deve haver algum tipo de serviços de proteção e deteção de segurança que sejam mais relevantes e orientados para as suas necessidades - ultrapassando essas enormes lacunas de segurança que atingem os utilizadores em massa.

Saiba mais sobre a campanha "FakeGPT":

"FakeGPT": Nova Variante da Extensão do Chrome Fake-ChatGPT Rouba Contas de Anúncios do Facebook com Milhares de Instalações Diárias

IOCs

Este artigo foi publicado em colaboração com o Guardio Labs.

Fonte da imagem: unsplash.com

Denuncie um golpe!

Você caiu em uma farsa, comprou um produto falsificado? Denuncie o site e avise outras pessoas!

Ajuda & Informações

Histórias Populares

À medida que a influência da Internet aumenta, aumenta também a prevalência de burlas em linha. Há burlões que fazem todo o tipo de alegações para apanhar as vítimas em linha - desde falsas oportunidades de investimento a lojas em linha - e a Internet permite-lhes operar a partir de qualquer parte do mundo com anonimato. A capacidade de detetar fraudes em linha é uma competência importante, uma vez que o mundo virtual está cada vez mais presente em todas as facetas da nossa vida. As dicas abaixo ajudá-lo-ão a identificar os sinais que podem indicar que um sítio Web pode ser uma burla. Senso comum: Demasiado bom para ser verdade Quando se procura produtos online, um bom negócio pode ser muito aliciante. Uma mala Gucci ou um iPhone novo por metade do preço? Quem é que não gostaria de aproveitar uma oferta destas? Os burlões também sabem disso e tentam tirar partido desse facto. Se uma oferta em linha parecer demasiado boa para ser verdade, pense duas vezes e verifique tudo. A forma mais fácil de o fazer é simplesmente verificar o mesmo produto em sítios Web concorrentes (em que confie). Se a diferença de preços for enorme, talvez seja melhor verificar novamente o resto do sítio Web. Verifique as ligações para as redes sociais Atualmente, as redes sociais são uma parte essencial das empresas de comércio eletrónico e os consumidores esperam frequent

Então, o pior aconteceu - apercebeu-se de que gastou o seu dinheiro demasiado depressa e que o site que utilizou era uma fraude - e agora? Bem, antes de mais, não desesperes!! Se pensa que foi enganado, a primeira coisa a fazer quando tem um problema é simplesmente pedir um reembolso. Este é o primeiro e mais fácil passo para determinar se está a lidar com uma empresa genuína ou com burlões. Infelizmente, obter o seu dinheiro de volta de um burlão não é tão simples como pedir. Se estiver de facto a lidar com burlões, o procedimento (e a possibilidade) de obter o seu dinheiro de volta varia consoante o método de pagamento utilizado. PayPal Cartão de débito/cartão de crédito Transferência bancária Transferência bancária Google Pay Bitcoin PayPal Se utilizou o PayPal, tem grandes hipóteses de obter o seu dinheiro de volta se tiver sido enganado. No sítio Web, pode apresentar um litígio no prazo de 180 dias de calendário a contar da data da compra. Condições para apresentar uma disputa: A situação mais simples é a de ter feito uma encomenda numa loja online e esta não ter chegado. Neste caso, é isto que o PayPal afirma: "Se a sua encomenda nunca aparecer e o vendedor não puder apresentar prova de envio ou entrega, receberá um reembolso total. É simples assim". O burlão enviou-lhe um artigo completamente diferente. Por exemplo, encomendou um