"FakeGPT" #2: Open-Source a devenit malițios într-o altă variantă a extensiei de Chrome care fură conturi de Facebook

La câteva ore de la raportarea lui Guardio către Google, extensia a fost eliminată din magazinul Chrome. La momentul eliminării, s-a declarat că peste 9000 de utilizatori au instalat-o.

De la Open-Source la Malicious-Source

Noua variantă a extensiei FakeGPT Chrome, intitulată "Chat GPT For Google", țintește din nou conturile dumneavoastră de Facebook sub acoperirea unei integrări ChatGPT pentru browserul dumneavoastră. De data aceasta, actorii de amenințare nu au fost nevoiți să lucreze din greu la aspectul acestei extensii malițioase cu tematică ChatGPT - pur și simplu au bifurcat și editat un proiect open-source bine-cunoscut care face exact acest lucru. De la zero la "erou" în probabil mai puțin de 2 minute.

Stânga: Varianta "FakeGPT" din Chrome Store. Dreapta: Extensia autentică "ChatGPT pentru Google".

Extensia autentică "ChatGPT pentru Google" se bazează pe acest proiect Open-Source, care a câștigat popularitate și milioane de utilizatori în ultimele câteva luni. Fiind un proiect open-source, acesta este menit să împărtășească cunoștințe și să contribuie la comunitatea de dezvoltatori - puțin știau că va fi abuzat atât de ușor pentru activități malițioase.

Un hoț împins cu Căutarea sponsorizată de la Google

De data aceasta, extensia malițioasă nu este împinsă cu ajutorul postărilor sponsorizate de pe Facebook, ci mai degrabă prin rezultate de căutare sponsorizate malițioase de la Google, așa cum am văzut cu multe alte activități în ultima vreme.

Și astfel, căutați "Chat GPT 4", dornic să testați noul algoritm, ajungând să faceți clic pe un rezultat de căutare sponsorizat care vă promite exact acest lucru. Acesta vă redirecționează către o pagină de destinație care vă oferă ChatGPT chiar în interiorul paginii de rezultate de căutare - tot ce a mai rămas este să instalați extensia din magazinul oficial Chrome Store. Acest lucru vă va oferi acces la ChatGPT din rezultatele căutării, dar vă va compromite și contul de Facebook într-o clipă!

Fluxul de atac de la Google Search la conturile de Facebook compromise

Furișarea de cookie-uri criptate prin intermediul antetelor HTTP false

Bazată pe versiunea 1.16.6 a proiectului open-source, această variantă FakeGPT efectuează o singură acțiune malițioasă specifică, imediat după instalare, iar restul este practic la fel ca și codul autentic - fără a lăsa motive de suspiciune.

Adevărata pagină a proiectului ChatGPT pentru Google Open-Source pe GitHub

Dacă ne uităm la funcția OnInstalled handler care este declanșată odată ce extensia este instalată, vedem că extensia autentică o folosește doar pentru a se asigura că vedeți ecranul de opțiuni (pentru a vă conecta la contul OpenAI). Pe de altă parte, codul bifurcat, devenit malițios, exploatează exact acest moment pentru a vă smulge cookie-urile de sesiune - după cum putem vedea în acest eșantion de cod deobfuscat din extensia malițioasă

Ceea ce vedem aici este o simplă deturnare de cookie-uri, dedicată încă o dată Facebook, după cum se poate vedea în următorul fragment de cod în care funcția et() filtrează cookie-urile legate de Facebook din lista completă obținută cu API-ul pentru extensii Chrome. Ulterior, xa()este folosită pentru a cripta totul cu AES folosind cheia "chatgpt4google":

Odată ce lista este gata, aceasta este trimisă cu o cerere GET către serverul C2 găzduit pe serviciul workers.dev, același serviciu pe care l-am văzut în varianta originală a FakeGPT.

Lista de cookie-uri este criptată cu AES și atașată la valoarea antetului HTTP X-Cached-Key. Această tehnică este folosită aici pentru a încerca să strecoare cookie-urile fără ca vreun mecanism DPI (Deep Packet Inspection) să ridice alerte asupra încărcăturii utile a pachetului (motiv pentru care și aceasta este criptată).
Rețineți doar că nu există niciun antet X-Cached-Key în protocolul HTTP! Există un antet X-Cache-Key (fără "d") utilizat pentru răspunsuri, nu pentru cereri. Dar acest lucru nu-i deranjează pe escrocii care obțin exact ceea ce aveau nevoie de la browserele compromise:

Descifrarea valorii Header ne va oferi o listă ușor de citit a tuturor cookie-urilor de sesiune Facebook active în browser, care arată cam așa (listă redusă):

La cererea de mai sus, serverul C2 răspunde cu o eroare generică 404 și asta e tot - " All Your Facebook are belong to us!".

De la Cookie-Sneaking la Facebook-Hijacking

Pentru actorii de amenințare, posibilitățile sunt nelimitate - utilizarea profilului dvs. ca un robot pentru comentarii, aprecieri și alte activități promoționale sau crearea de pagini și conturi de publicitate care să se folosească de reputația și identitatea dvs. în timp ce promovează servicii care sunt atât legitime, cât și, probabil, în cea mai mare parte, nelegitime.

Cu ajutorul acestor cookie-uri, sesiunea dumneavoastră de Facebook poate fi rapid depășită, detaliile de conectare de bază ale contului dumneavoastră pot fi schimbate, iar din acest punct mai departe pierdeți controlul asupra profilului dumneavoastră fără nicio modalitate de a-l recâștiga. Acest lucru va fi urmat de schimbarea automată a numelui și a pozei de profil - probabil cu un alt fals "Lilly Collins" (care pare să fie preferatul lor) și, desigur, datele dvs. private recoltate (pentru mai mult profit) și șterse definitiv pentru a face loc răutăților.

Am văzut în ultima vreme atât de multe profiluri de utilizatori care au căzut în această capcană, multe dintre ele fiind ulterior folosite în mod abuziv pentru a promova alte activități rău intenționate în cadrul ecosistemului Facebook și chiar propagandă simplă și simplă de cea mai proastă speță.

Un exemplu destul de brutal pentru a vizualiza totul este această pagină de afaceri RV-selling deturnată pe 4 martie 2023. Este încă disponibilă la URL-ul original https://www[.]facebook[.]com/shadymaplefarmmarket și este folosită acum pentru a promova conținutul ISIS. Observați cum Lily Collins este adăugată automat ca imagine de profil imediat după ce a fost deturnată (probabil de un sistem automat folosit de escroci). Aceasta este ulterior actualizată cu imagini cu tematică ISIS, posibil ca urmare a faptului că a fost vândută unui alt actor care dorește să propage acest tip de conținut folosind conturi Facebook furate de profil înalt:

Exemplu de pagină de afaceri Facebook deturnată, folosită pentru a promova conținut ISIS

Ultimul, dar nu cel din urmă

Folosirea abuzivă a mărcii și popularității ChatGPT continuă să crească, fiind folosită nu numai pentru colectarea de conturi de Facebook și nu numai cu extensii false malițioase pentru Chrome. Serviciile majore oferite de Facebook, Google și alte nume mari sunt supuse unor atacuri și abuzuri continue, în timp ce, în cele din urmă, cei care sunt loviți cel mai mult aici suntem noi, utilizatorii.

Conștientizarea este un factor crucial pentru a evita aceste atacuri și pentru a vă păstra datele private, însă, în aceste zile, este din ce în ce mai evident că, chiar și pentru utilizatorii de internet casnici/ocupaționali, trebuie să existe un fel de servicii de protecție și detectare a securității care să fie mai relevante și mai orientate către nevoile lor - depășind aceste lacune uriașe de securitate care afectează utilizatorii în masă.

Citiți mai multe despre campania "FakeGPT":

"FakeGPT": O nouă variantă a extensiei de Chrome Fake-ChatGPT care fură conturi de anunțuri pe Facebook cu mii de instalări zilnice

CIO

Acest articol a fost publicat în colaborare cu Guardio Labs.

Sursă imagine: unsplash.com