"FakeGPT": O nouă variantă a extensiei de Chrome Fake-ChatGPT care fură conturile de anunțuri Facebook

Cercul vicios al publicității defectuoase deturnate de pe Facebook Malvertising

Echipa noastră de cercetare în domeniul securității de la Guardio monitorizează în mod constant activitatea din jurul abuzului de brand ChatGPT, cu campanii nesfârșite care propagă malware și phishing pentru cardurile dvs. de credit. La 3/3/2023, echipa noastră a detectat o nouă variantă a unei extensii de browser malițioase false ChatGPT, parte a unei campanii începute la începutul lunii februarie cu alte câteva extensii malițioase marca ChatGPT. De data aceasta, a fost actualizată cu o tehnică amenințătoare de preluare a conturilor dvs. de Facebook, precum și cu o abordare sofisticată de tip vierme pentru propagare.

Extensia malițioasă de furt, intitulată "Acces rapid la ChatGPT", este promovată pe postările sponsorizate de Facebook ca o modalitate rapidă de a începe să utilizați ChatGPT direct din browserul dumneavoastră. Deși extensia vă oferă acest lucru (prin simpla conectare la API-ul oficial al ChatGPT), aceasta culege, de asemenea, toate informațiile pe care le poate prelua din browserul dumneavoastră, fură cookie-urile sesiunilor active autorizate la orice serviciu pe care îl aveți și, de asemenea, folosește tactici adaptate pentru a vă prelua contul de Facebook.

De la publicitatea defectuoasă, instalarea de extensii, deturnarea conturilor de Facebook și înapoi la propagare

Odată ce Actorul Amenințării preia proprietatea datelor dvs. furate, probabil că le va vinde celui care licitează cel mai mult, ca de obicei, însă, în timp ce am săpat mai adânc în această operațiune, am observat grija lor deosebită față de conturile de afaceri de profil înalt de pe Facebook. Cu această abordare, campania poate continua să se propage cu propria armată de conturi de bot Facebook deturnate, publicând mai multe postări sponsorizate și alte activități sociale în numele profilurilor victimelor sale și cheltuind creditele de bani din conturile de afaceri!

Descrierea de nivel înalt a campaniei de mai sus ascunde în interiorul ei câteva tehnici sofisticate de recoltare a detaliilor victimelor și de preluare a conturilor de Facebook. Acestea abuzează de serviciile online și de API-uri puternice atât de la Google, cât și de la Facebook - oferindu-le actorilor de amenințări niște instrumente foarte puternice pentru a avea succes.

Abuzul de contextul browserului victimei

Odată ce extensia este instalată, aceasta vă oferă ceea ce este anunțat - o mică fereastră pop-up care apare după ce faceți clic pe pictograma extensiei, cu o invitație de a cere ChatGPT orice doriți.

Cu toate acestea, acesta este exact locul unde începe să devină dubios. Extensia este acum parte integrantă a browserului dumneavoastră. Astfel, aceasta poate trimite orice solicitare către orice alt serviciu - ca și cum însuși proprietarul browserului ar iniția acest lucru din același context. Acest lucru este crucial - deoarece, în majoritatea cazurilor, browserul are deja o sesiune activă și autentificată cu aproape toate serviciile dvs. de zi cu zi, de exemplu Facebook.

Mai exact, acest lucru permite extensiei să acceseze Graph API al Meta pentru dezvoltatori - permițând actorului de amenințare să acceseze rapid toate detaliile dumneavoastră și, de asemenea, să întreprindă acțiuni în numele dumneavoastră direct în contul dumneavoastră de Facebook, utilizând apeluri API simple.

Există, desigur, limitări și măsuri de securitate luate de Facebook - de exemplu, asigurarea că solicitările provin de la un utilizator autentificat, precum și de la originea relevantă. Extensia are deja o sesiune autentificată cu Facebook, dar cum rămâne cu originea cererilor pe care le trimite? Ei bine, datorită API-ului declarativNetRequest al Chrome, extensia are o modalitate simplă de a ocoli protecția Facebook.

Următoarea bucată de cod este apelată în extensia malițioasă chiar la inițiere, asigurându-se că toate cererile făcute către facebook.com de către orice sursă din browserul dumneavoastră (inclusiv extensia însăși) vor avea anteturile modificate pentru a reflecta originea ca fiind tot "facebook.com". Acest lucru oferă extensiei posibilitatea de a naviga liber pe orice pagină Facebook (inclusiv de a efectua apeluri API și acțiuni) folosind browserul dumneavoastră infectat și fără nicio urmă.

Observați că variabila d conține domeniul relevant (în cazul nostru facebook.com), așa cum a fost trimis înapoi la extensie de la serverul C2 la api2[.]openai-service[.]workers[.]dev

Culegerea datelor și trimiterea lor înapoi la serverele C2

Acum, odată ce victima deschide ferestrele extensiei și scrie o întrebare la ChatGPT, interogarea este trimisă către serverele OpenAIs pentru a vă ține ocupați - în timp ce în fundal se declanșează imediat recoltarea.

În cele ce urmează sunt câteva exemple de cod deobfuscat din sursa extensiei malițioase. Acesta a fost scris în typescript și împachetat/minificat, totuși, folosind fișierele .map din interior, am reușit să reasamblăm codul pentru a fi mai ușor de citit - arătând toate numele funcțiilor și variabilelor care au apărut ca fiind cu adevărat informative și destul de evidente pentru intențiile reale ale acestui cod de la prima vedere:

Cele de mai sus sunt principalele funcții care execută diferite interogări folosind Graph API de la Facebook, precum și alte API-uri Chrome, cum ar fi obținerea tuturor cookie-urilor. Un exemplu demn de luat în seamă din cod:

Apelul Graph API de mai sus le va oferi atacatorilor tot ce au nevoie despre contul dvs. de Facebook Business (dacă este disponibil), inclusiv promoțiile active în prezent și soldul de credit. Ulterior, extensia examinează toate datele culese, le pregătește și le trimite înapoi la serverul C2 folosind următoarele apeluri API - fiecare în funcție de relevanță și de tipul de date:

Fiecare apel include o încărcătură utilă detaliată, în format JSON, cu TOATE informațiile de care au nevoie, inclusiv cookie-urile de sesiune, soldul de bani și altele. Doar un exemplu rapid al datelor de bază care sunt exfiltrate:

Exemplu de ieșire a datelor din extensie către C2 la apelul API "add-data-account"

Exemplu de date de ieșire din extensie către C2 la apelul API "add-ads-manager"

În primul exemplu, lista completă de cookie-uri a fost redusă pentru afișare, însă veți descoperi că există TOATE cookie-urile stocate în browserul dumneavoastră - inclusiv token-uri de securitate și de sesiune pentru servicii precum YouTube, conturi Google, Twitter etc.
În cel de-al doilea exemplu - odată ce extensia află că aveți o pagină de afaceri, va colecta detaliile contului dvs. de Facebook și toată configurația actuală a anunțurilor dvs. precum și datele financiare, așa cum s-a văzut mai sus.

Preluarea conturilor cu o aplicație Facebook rudimentară

Acum, actorii de amenințare au suficiente date din care să facă profit - Și totuși, dacă au găsit contul dvs. suficient de interesant pentru ei (de exemplu, aveți o pagină de afaceri cu tone de like-uri și un plan de publicitate cu credite care așteaptă să fie cheltuite) - este timpul să preia controlul și să preia controlul!

Un modul special dezvoltat în codul extensiei(Portal.ts) include un modul special dezvoltat în codul extensiei(Portal.ts) include o clasă numită Potal(da, cu o greșeală de scriere...) care este cea responsabilă pentru această magie. În loc să încerce să culeagă parolele conturilor sau să încerce să ocolească 2FA cu ajutorul unor token-uri de sesiune (ceea ce nu este atât de ușor datorită măsurilor de securitate ale Facebook), acest actor de amenințare alege o altă cale - o aplicație Facebook malițioasă.

O aplicație din cadrul ecosistemului Facebook este, de obicei, un serviciu SaaS care a fost aprobat pentru a utiliza API-ul special al acestuia, permițând serviciului terț să obțină informații despre cont, precum și să efectueze acțiuni în numele dvs. Cu toții ne amintim de acele aplicații care ne spammează feed-ul cu postări promoționale, dar acest actor de amenințare duce acest lucru la un alt nivel.

Modulul Potal abuzează, încă o dată, de contextul pop-up ChatGPT pentru a trimite cereri către serverele Facebook în numele dumneavoastră - de data aceasta, automatizând întregul proces de înregistrare a unei aplicații pe contul dumneavoastră și aprobând-o pentru a obține, practic, UN MOD ADMIN COMPLET.

Acest actor de amenințare utilizează 2 aplicații principale, după cum se vede în cod:

Prima aplicație Facebook rău intenționată(portal) nu mai este disponibilă, însă cea de-a doua este încă în viață. Pentru a înțelege cu adevărat ce face, am manipulat pagina de setări a Facebook, schimbând app_id-ul unei aplicații reale instalate pe contul nostru cu cel folosit de acest actor de amenințări:

În acest fel, am dezvăluit numele, pictograma și, cel mai important, lista lungă (foarte lungă) de permisiuni acordate:

Această aplicație, care, din anumite motive, este de fapt aprobată de Facebook și funcțională, pare să solicite toate permisiunile disponibile! De la controlul total al profilului și activității tale de pe Facebook până la puteri de administrator pe toate grupurile, paginile, afacerile și, bineînțeles, conturile tale de publicitate. Pot chiar să vă administreze conturile de WhatsApp și Instagram conectate !

În plus, folosește același nume și pictogramă ca o aplicație oficială de la Facebook:

Listarea aplicației oficiale Messenger Kids de către Facebook

Procesul de automatizare a adăugării aplicației în conturile victimelor poate fi văzut în această funcție principală a modulului Potal . Toate funcțiile de aici folosesc, din nou, API-ul Facebook Graph, fără a fi nevoie de nicio interacțiune din partea victimei - de la solicitarea de adăugare a aplicației, până la autentificare și confirmarea finală:

De data aceasta, datele exfiltrate aici sunt criptate înainte de a fi trimise acasă - presupunem că acest lucru se datorează faptului că actorul de amenințare vizează doar ținte cu adevărat valoroase prin această metodă și pentru că utilizează autopropagarea acestei activități și a altor activități malițioase prin intermediul postărilor promovate pe Facebook create cu acele conturi.

Concluzie

Nu numai că această extensie malițioasă se află în libertate în magazinul oficial Chrome (și este încă activă în momentul în care aceste rânduri sunt scrise), dar abuzează și de API-ul aplicațiilor oficiale ale Facebook într-un mod care ar fi trebuit să atragă deja atenția celor care aplică politicile. Ca să nu mai vorbim de postările promovate false și răuvoitoare care sunt aprobate atât de ușor de Facebook.

Există peste 2000 de utilizatori care instalează zilnic această extensie de la prima sa apariție, la 03/03/2023 - fiecăruia i se fură contul de Facebook și probabil că acesta nu este singurul prejudiciu.

Vedem în ultima vreme o lovitură supărătoare asupra încrederii pe care obișnuiam să o acordăm orbește companiilor și numelor mari care sunt responsabile pentru majoritatea prezenței și activității noastre online - Google încă permite publicitatea malignă pe rezultatele sale de căutare promovate, iar YouTube nu poate scăpa de acele canale deturnate care promovează criptomonede, iar Facebook permite aplicații false care necesită permisiuni și care imită propriile aplicații Facebook!

Aceste activități sunt, probabil, aici pentru a rămâne. Prin urmare, trebuie să fim mai vigilenți chiar și în timpul navigării noastre zilnice ocazionale - nu dați clic pe primul rezultat al căutării și asigurați-vă întotdeauna că nu veți da clic pe linkuri și postări sponsorizate decât dacă sunteți destul de sigur cine se află în spatele lor!

COI

Acest articol a fost publicat în colaborare cu Guardio Labs

Sursa imaginii: Unsplash.com