"FakeGPT": Nova variante da extensão do Chrome Fake-ChatGPT que rouba contas de anúncios do Facebook

O círculo vicioso do malvertising sequestrado do Facebook

A nossa equipa de investigação de segurança do Guardio está constantemente a monitorizar a atividade em torno do abuso da marca ChatGPT, com campanhas intermináveis de propagação de malware e phishing para os seus cartões de crédito. Em 3/3/2023, a nossa equipa detectou uma nova variante de uma falsa extensão maliciosa do ChatGPT para o navegador, parte de uma campanha iniciada no início de fevereiro com várias outras extensões maliciosas da marca ChatGPT. Desta vez, foi actualizada com uma técnica ameaçadora para assumir o controlo das contas do Facebook, bem como uma sofisticada abordagem de propagação do tipo worm.

A extensão maliciosa, intitulada "Quick access to Chat GPT" é promovida em posts patrocinados pelo Facebook como uma forma rápida de começar a usar o ChatGPT diretamente do seu navegador. Embora a extensão lhe dê isso (simplesmente ligando-se à API oficial do ChatGPT), também recolhe todas as informações que pode obter do seu navegador, rouba cookies de sessões activas autorizadas para qualquer serviço que tenha, e também emprega tácticas personalizadas para assumir a sua conta do Facebook.

Desde a publicidade maliciosa, à instalação de extensões, ao sequestro de contas do Facebook, e de novo à propagação

Uma vez que o ator da ameaça se apropria dos dados roubados, provavelmente irá vendê-los a quem der mais, como de costume, mas enquanto aprofundamos esta operação, notámos o seu cuidado extra com as contas comerciais de alto perfil no Facebook. Com esta abordagem, a campanha pode continuar a propagar-se com o seu próprio exército de contas de bots do Facebook sequestradas, publicando mais posts patrocinados e outras actividades sociais em nome dos perfis das suas vítimas e gastando créditos de dinheiro de contas empresariais!

A descrição de alto nível da campanha acima referida esconde no seu interior algumas técnicas sofisticadas para recolher os dados das vítimas e assumir o controlo das contas do Facebook. Estas técnicas abusam de serviços online e de poderosas APIs tanto do Google como do Facebook - dando a estes agentes de ameaças algumas ferramentas muito poderosas para o sucesso.

Abusando do contexto do navegador da vítima

Uma vez que a extensão é instalada, dá-lhe o que é anunciado - uma pequena janela popup que aparece depois de clicar no ícone da extensão, com um prompt para perguntar ao ChatGPT o que quiser.

No entanto, é exatamente aqui que as coisas começam a ficar suspeitas. A extensão é agora uma parte integrante do seu navegador. Assim, pode enviar qualquer pedido a qualquer outro serviço - como se o próprio dono do browser o estivesse a iniciar a partir do mesmo contexto. Isto é crucial - uma vez que o navegador, na maioria dos casos, já tem uma sessão ativa e autenticada com quase todos os seus serviços diários, por exemplo, o Facebook.

Mais especificamente, isto permite que a extensão aceda à API Graph do Meta para programadores - permitindo que o agente da ameaça aceda rapidamente a todos os seus detalhes e também execute acções em seu nome diretamente na sua conta do Facebook usando chamadas simples à API.

Existem, naturalmente, limitações e medidas de segurança tomadas pelo Facebook - por exemplo, garantir que os pedidos provêm de um utilizador autenticado, bem como da origem relevante. A extensão já tem uma sessão autenticada com o Facebook, mas o que acontece com a origem dos pedidos que envia? Bem, graças à API declarativeNetRequest do Chrome, a extensão tem uma forma simples de contornar a proteção do Facebook.

O seguinte trecho de código é chamado na extensão maliciosa logo no início, garantindo que todos os pedidos feitos ao facebook.com por qualquer fonte no seu navegador (incluindo a própria extensão) terão os seus cabeçalhos modificados para refletir a origem como "facebook.com" também. Isto dá à extensão a capacidade de navegar livremente em qualquer página do Facebook (incluindo fazer chamadas e acções API) usando o seu navegador infetado e sem qualquer vestígio.

Note-se que a variável d está a conter o domínio relevante (no nosso caso, facebook.com), tal como foi enviado de volta para a extensão a partir do servidor C2 em api2[.]openai-service[.]workers[.]dev

Recolher dados e enviá-los de volta para os servidores C2

Agora, assim que a vítima abre as janelas da extensão e escreve uma pergunta no ChatGPT, a consulta é enviada para os servidores OpenAIs para o manter ocupado - enquanto que, em segundo plano, desencadeia imediatamente a recolha.

Seguem-se alguns exemplos de código desofuscado da fonte da extensão maliciosa. Foi escrito em typescript e empacotado/minificado, mas usando os ficheiros .map no seu interior conseguimos remontar o código de forma a torná-lo mais legível - mostrando todos os nomes de funções e variáveis que se revelaram verdadeiramente informativos e bastante óbvios para as verdadeiras intenções deste código à primeira vista:

As funções acima são as principais funções que executam diferentes consultas usando a API Graph do Facebook, bem como outras APIs do Chrome, como obter todos os seus cookies. Exemplos dignos de nota do código:

A chamada à API Graph acima referida dará aos atacantes tudo o que precisam sobre a sua conta Business Facebook (se disponível), incluindo as suas promoções atualmente activas e o seu saldo de crédito. Mais tarde, a extensão examina todos os dados recolhidos, prepara-os e envia-os de volta para o servidor C2 utilizando as seguintes chamadas à API - cada uma de acordo com a relevância e o tipo de dados:

Cada chamada inclui um payload detalhado em formato JSON com TUDO o que eles precisam, incluindo cookies de sessão, saldo de dinheiro e outros pormenores. Apenas um exemplo rápido dos dados básicos que estão a ser exfiltrados:

Exemplo de saída de dados da extensão para C2 na chamada API "add-data-account"

Exemplo de dados enviados da extensão para C2 na chamada API "add-ads-manager"

No primeiro exemplo, a lista completa de cookies foi reduzida para efeitos de apresentação, mas pode constatar que existem TODOS os cookies armazenados no seu navegador, incluindo os tokens de segurança e de sessão de serviços como o YouTube, as contas Google, o Twitter, etc.
No segundo exemplo - quando a extensão descobre que tem uma página de negócios, recolhe os detalhes da sua conta do Facebook e toda a configuração atual dos seus anúncios, bem como dados financeiros, como se viu acima.

Assumir o controlo de contas com uma aplicação rudimentar do Facebook

Agora os agentes da ameaça têm dados suficientes para lucrar. E, no entanto, se acharem a sua conta suficientemente interessante para eles próprios (por exemplo, se tiver uma página empresarial com muitos gostos e um plano de publicidade com créditos à espera de serem gastos), é altura de assumir o controlo!

Um módulo especificamente desenvolvido no código da extensão(Portal.ts) inclui uma classe chamada Potal(sim, com um erro de digitação...) que é a responsável por esta magia. Em vez de tentar recolher as palavras-passe das contas, ou tentar contornar o 2FA com tokens de sessão (o que não é assim tão fácil devido às medidas de segurança do Facebook), este agente da ameaça escolhe outra forma - uma aplicação maliciosa do Facebook.

Uma aplicação no ecossistema do Facebook é normalmente um serviço SaaS que foi aprovado para utilizar a sua API especial, permitindo que o serviço de terceiros obtenha informações sobre a conta e realize acções em seu nome. Todos nos lembramos das aplicações que enviam spam para o nosso feed com mensagens promocionais, mas este agente de ameaças está a levar isto para outro nível.

O módulo Potal está, mais uma vez, a abusar do contexto do popup ChatGPT para enviar pedidos aos servidores do Facebook em seu nome - desta vez automatizando todo o processo de registo de uma aplicação na sua conta e aprovando-a para obter, basicamente, um MODO DE ADMINISTRAÇÃO COMPLETO.

Este agente da ameaça utiliza 2 aplicações principais, como se pode ver no código:

A primeira aplicação maliciosa do Facebook(portal) já não está disponível, mas a segunda ainda está viva e a funcionar. Para perceber realmente o que faz, manipulámos a página de definições do Facebook, alterando o app_id de uma aplicação real instalada na nossa conta com o usado por este agente de ameaças:

Desta forma, revelámos o seu nome, ícone e, mais importante, a longa (muito longa) lista de permissões concedidas:

Esta aplicação, que por alguma razão é efetivamente aprovada pelo Facebook e funcional, parece solicitar todas as permissões disponíveis! Desde o controlo total do seu perfil e atividade no Facebook até poderes de administração de todos os seus grupos, páginas, empresas e, claro, contas de publicidade. Podem até gerir as tuas contas WhatsApp e Instagram ligadas !

Além disso, utiliza o mesmo nome e ícone que uma aplicação oficial do Facebook:

A listagem da aplicação oficial do Messenger Kids pelo Facebook

O processo de automatização da adição da aplicação às contas das vítimas pode ser visto nesta função principal do módulo Potal . Todas as funções aqui estão a usar, mais uma vez, a API Graph do Facebook, sem que seja necessária uma única interação por parte da vítima - desde o pedido para adicionar a aplicação, passando pela autenticação e confirmação final:

Desta vez, os dados exfiltrados aqui estão a ser encriptados antes de serem enviados para casa - presumimos que isto se deve ao facto de o agente da ameaça visar apenas alvos verdadeiramente valiosos com este método, e à sua utilização da auto-propagação desta e de outras actividades maliciosas utilizando publicações promovidas pelo Facebook criadas com essas contas.

Conclusão

Esta extensão maliciosa não só está à solta na loja oficial do Chrome (e ainda está ativa enquanto estas linhas estão a ser escritas), como também está a abusar da API de aplicações oficiais do Facebook de uma forma que já deveria ter chamado a atenção dos responsáveis pela aplicação da política. Já para não falar das falsas e malévolas mensagens promovidas que são tão facilmente aprovadas pelo Facebook.

Há mais de 2000 utilizadores a instalar esta extensão diariamente desde a sua primeira aparição em 03/03/2023 - cada um deles vê a sua conta do Facebook roubada e provavelmente este não é o único dano.

Ultimamente, temos assistido a um golpe problemático na confiança que costumávamos depositar cegamente nas empresas e nos grandes nomes que são responsáveis pela maior parte da nossa presença e atividade em linha - o Google continua a permitir a publicidade maliciosa nos seus resultados de pesquisa promovidos, o YouTube não consegue livrar-se dos canais sequestrados que promovem o Cryptoscams e o Facebook permite aplicações falsas que exigem permissões e que imitam as próprias aplicações do Facebook!

Estas actividades vieram, provavelmente, para ficar. Assim, temos de estar mais vigilantes, mesmo na nossa navegação casual quotidiana - não clicar no primeiro resultado da pesquisa e certificarmo-nos sempre de que não clicamos em ligações e mensagens patrocinadas, a menos que tenhamos a certeza de quem está por trás delas!

CIOs

Este artigo foi publicado em colaboração com o Guardio Labs

Fonte da imagem: Unsplash.com