Poucas horas depois do relatório de Guardio à Google, a extensão foi removida da loja do Chrome. Na altura da remoção, foi declarado que mais de 9000 utilizadores a tinham instalado.
A nova variante da extensão FakeGPT para o Chrome, intitulada "Chat GPT For Google", está mais uma vez a visar as suas contas do Facebook sob a capa de uma integração ChatGPT para o seu navegador. Desta vez, os agentes da ameaça não tiveram de trabalhar arduamente na aparência desta extensão maliciosa com o tema ChatGPT - apenas bifurcaram e editaram um conhecido projeto de código aberto que faz exatamente isso. Do zero ao "herói" em provavelmente menos de 2 minutos.
Esquerda: A variante "FakeGPT" na Chrome Store. À direita: A extensão genuína "ChatGPT for Google
A extensão genuína "ChatGPT For Google" é baseada neste projeto Open-Source, que ganhou popularidade e milhões de utilizadores nos últimos meses. Sendo um projeto de código aberto, destina-se a partilhar conhecimentos e a contribuir para a comunidade de programadores - mal sabiam eles que seria abusado tão facilmente para actividades maliciosas.
Desta vez, a extensão maliciosa não é enviada através de posts patrocinados no Facebook, mas sim através de resultados de pesquisa patrocinados e maliciosos do Google, como vimos em muitas outras actividades ultimamente.
Assim, o utilizador pesquisa por "Chat GPT 4", ansioso por testar o novo algoritmo, acabando por clicar num resultado de pesquisa patrocinado que lhe promete isso mesmo. Isto redirecciona-o para uma página de destino que lhe oferece o ChatGPT mesmo dentro da sua página de resultados de pesquisa - tudo o que resta é instalar a extensão a partir da Chrome Store oficial. Isto dar-lhe-á acesso ao ChatGPT a partir dos resultados de pesquisa, mas também comprometerá a sua conta do Facebook num instante!
Fluxo de ataque da Pesquisa Google para contas do Facebook comprometidas
Baseada na versão 1.16.6 do projeto open-source, esta variante do FakeGPT executa apenas uma ação maliciosa específica, logo após a instalação, e o resto é basicamente igual ao código genuíno - não deixando razões para suspeitar.
A página genuína do projeto de código aberto ChatGPT for Google no GitHub
Olhando para a função do manipulador OnInstalled que é acionada assim que a extensão é instalada, vemos que a extensão genuína apenas a usa para garantir que você veja a tela de opções (para fazer login na sua conta OpenAI). Por outro lado, o código bifurcado, que se tornou malicioso, está a explorar este momento exato para roubar os seus cookies de sessão - como podemos ver neste exemplo de código desofuscado da extensão maliciosa
O que vemos aqui é um simples Cookie-Hijacking, dedicado mais uma vez ao Facebook, como pode ser visto no seguinte trecho de código onde a função et() está a filtrar os cookies relacionados com o Facebook da lista completa adquirida com a API de extensão do Chrome. Mais tarde, xa()é usada para encriptar tudo com AES usando a chave "chatgpt4google":
Quando a lista está pronta, é enviada com um pedido GET para o servidor C2 alojado no serviço workers.dev, o mesmo serviço que vimos na variante original do FakeGPT.
A lista de cookies é encriptada com AES e anexada ao valor do cabeçalho HTTP X-Cached-Key. Esta técnica é usada aqui para tentar retirar os cookies sem que nenhum mecanismo de DPI (Deep Packet Inspection) emita alertas sobre o payload do pacote (razão pela qual também está encriptado).
Note-se apenas que não existe um cabeçalho X-Cached-Key no protocolo HTTP! Existe um cabeçalho X-Cache-Key (sem o 'd') usado para respostas, não para pedidos. Mas isso não incomoda os golpistas que obtêm exatamente o que precisam de navegadores comprometidos:
A desencriptação do valor do cabeçalho dá-nos esta lista de fácil leitura de todos os cookies de sessão do Facebook activos no browser, com o seguinte aspeto (lista reduzida):
Ao pedido acima, o servidor C2 responde com um erro 404 genérico e pronto - " All Your Facebook are belong to us!".
Para os agentes de ameaças, as possibilidades são infinitas - utilizar o seu perfil como um bot para comentários, gostos e outras actividades promocionais, ou criar páginas e contas de publicidade utilizando a sua reputação e identidade enquanto promovem serviços que são legítimos e, provavelmente, na sua maioria, não o são.
Com esses cookies, a sessão do Facebook pode ser rapidamente ultrapassada, os detalhes básicos de login da conta podem ser alterados e, a partir daí, o utilizador perde o controlo sobre o seu perfil, sem qualquer forma de o recuperar. Seguir-se-á a alteração automática do nome e da fotografia do perfil - provavelmente para mais uma falsa "Lilly Collins" (que parece ser a preferida deles) e, claro, a recolha dos seus dados privados (para mais lucro) e a sua eliminação definitiva para dar lugar à malícia.
Ultimamente, temos visto muitos perfis de utilizadores a cair nesta armadilha, muitos dos quais são mais tarde utilizados para promover mais actividades maliciosas dentro do ecossistema do Facebook e até propaganda pura e simples do pior tipo.
Um exemplo bastante brutal para visualizar tudo isto é esta página comercial da RV-selling sequestrada a 4 de março de 2023. Ainda está disponível no URL original https://www[.]facebook[.]com/shadymaplefarmmarket e é agora utilizada para promover conteúdos do ISIS. Ver como Lily Collins é automaticamente adicionada como imagem de perfil imediatamente após ter sido desviada (provavelmente por um sistema automático utilizado por burlões). Mais tarde, a foto é actualizada para imagens com o tema do ISIS, possivelmente depois de ter sido vendida a outro ator que pretende propagar este tipo de conteúdo utilizando contas roubadas de alto perfil no Facebook:
Exemplo de uma página empresarial do Facebook pirateada, utilizada para promover conteúdos do ISIS
A utilização indevida da marca e da popularidade do ChatGPT não pára de aumentar, sendo utilizada não só para a recolha de contas do Facebook, mas também com falsas extensões maliciosas para o Chrome. Os principais serviços oferecidos pelo Facebook, Google e outros grandes nomes estão sob ataque e abuso contínuos, enquanto que, no final de tudo, os mais atingidos somos nós, os utilizadores.
A consciencialização é um fator crucial para evitar esses ataques e manter a privacidade dos dados. No entanto, hoje em dia, é cada vez mais óbvio que, mesmo para os utilizadores domésticos/casuais da Internet, deve haver algum tipo de serviços de proteção e deteção de segurança que sejam mais relevantes e orientados para as suas necessidades - ultrapassando essas enormes lacunas de segurança que atingem os utilizadores em massa.
Saiba mais sobre a campanha "FakeGPT":
Este artigo foi publicado em colaboração com o Guardio Labs.
Fonte da imagem: unsplash.com
Você caiu em uma farsa, comprou um produto falsificado? Denuncie o site e avise outras pessoas!
À medida que a influência da Internet aumenta, aumenta também a prevalência de burlas em linha. Há burlões que fazem todo o tipo de alegações para apanhar as vítimas em linha - desde falsas oportunidades de investimento a lojas em linha - e a Internet permite-lhes operar a partir de qualquer parte do mundo com anonimato. A capacidade de detetar fraudes em linha é uma competência importante, uma vez que o mundo virtual está cada vez mais presente em todas as facetas da nossa vida. As dicas abaixo ajudá-lo-ão a identificar os sinais que podem indicar que um sítio Web pode ser uma burla. Senso comum: Demasiado bom para ser verdade Quando se procura produtos online, um bom negócio pode ser muito aliciante. Uma mala Gucci ou um iPhone novo por metade do preço? Quem é que não gostaria de aproveitar uma oferta destas? Os burlões também sabem disso e tentam tirar partido desse facto. Se uma oferta em linha parecer demasiado boa para ser verdade, pense duas vezes e verifique tudo. A forma mais fácil de o fazer é simplesmente verificar o mesmo produto em sítios Web concorrentes (em que confie). Se a diferença de preços for enorme, talvez seja melhor verificar novamente o resto do sítio Web. Verifique as ligações para as redes sociais Atualmente, as redes sociais são uma parte essencial das empresas de comércio eletrónico e os consumidores esperam frequent
Então, o pior aconteceu - apercebeu-se de que gastou o seu dinheiro demasiado depressa e que o site que utilizou era uma fraude - e agora? Bem, antes de mais, não desesperes!! Se pensa que foi enganado, a primeira coisa a fazer quando tem um problema é simplesmente pedir um reembolso. Este é o primeiro e mais fácil passo para determinar se está a lidar com uma empresa genuína ou com burlões. Infelizmente, obter o seu dinheiro de volta de um burlão não é tão simples como pedir. Se estiver de facto a lidar com burlões, o procedimento (e a possibilidade) de obter o seu dinheiro de volta varia consoante o método de pagamento utilizado. PayPal Cartão de débito/cartão de crédito Transferência bancária Transferência bancária Google Pay Bitcoin PayPal Se utilizou o PayPal, tem grandes hipóteses de obter o seu dinheiro de volta se tiver sido enganado. No sítio Web, pode apresentar um litígio no prazo de 180 dias de calendário a contar da data da compra. Condições para apresentar uma disputa: A situação mais simples é a de ter feito uma encomenda numa loja online e esta não ter chegado. Neste caso, é isto que o PayPal afirma: "Se a sua encomenda nunca aparecer e o vendedor não puder apresentar prova de envio ou entrega, receberá um reembolso total. É simples assim". O burlão enviou-lhe um artigo completamente diferente. Por exemplo, encomendou um