0
0
Um agente de ameaça pode ter comprometido milhares de contas do Facebook – incluindo contas comerciais – por meio de uma sofisticada extensão de navegador Chrome ChatGPT falsa que, até o início desta semana, estava disponível na Chrome Store oficial do Google.
De acordo com uma análise desta semana do Guardio, a extensão maliciosa “Acesso rápido ao Chat GPT” prometia aos usuários uma maneira rápida de interagir com o imensamente popular chatbot AI . Na realidade, ele também coletou sub-repticiamente uma ampla gama de informações do navegador, roubou cookies de todas as sessões ativas autorizadas e instalou um backdoor que deu ao autor do malware permissões de superadministrador para a conta do usuário no Facebook.
A extensão do navegador Quick access to ChatGPT é apenas um exemplo das muitas maneiras pelas quais os agentes de ameaças tentam aproveitar o enorme interesse público no ChatGPT para distribuir malware e se infiltrar em sistemas. Um exemplo é um adversário que configurou uma página de destino falsa do ChatGPT, onde os usuários enganados para ” se inscrever ” acabaram baixando um Trojan chamado Fobo. Outros relataram um aumento acentuado nos e-mails de phishing com o tema ChatGPT nos últimos meses e o uso crescente de aplicativos falsos do ChatGPT para espalhar malware para Windows e Android.
Segmentação de contas comerciais do Facebook para um “exército de bots”
A análise de Guardio mostrou que a extensão maliciosa do navegador realmente forneceu o acesso rápido prometido ao ChatGPT, simplesmente conectando-se à API do chatbot. Mas, além disso, a extensão também coletou uma lista completa de todos os cookies armazenados no navegador do usuário, incluindo segurança e tokens de sessão para Google, Twitter e YouTube e para quaisquer outros serviços ativos.
Nos casos em que o usuário poderia ter uma sessão ativa e autenticada no Facebook, a extensão acessava a Graph API da Meta para desenvolvedores. O acesso à API deu à extensão a capacidade de coletar todos os dados associados à conta do usuário no Facebook e, mais preocupante, realizar uma variedade de ações em nome do usuário.
Mais ameaçadoramente, um componente no código de extensão permitia o sequestro da conta do usuário no Facebook, basicamente registrando um aplicativo nocivo na conta do usuário e fazendo com que o Facebook o aprovasse.
“Um aplicativo no ecossistema do Facebook geralmente é um serviço SaaS que foi aprovado para usar sua API especial”, explicou Guardio. Assim, ao registrar um aplicativo na conta do usuário, o agente da ameaça ganhou o modo de administrador completo na conta do Facebook da vítima sem ter que coletar senhas ou tentar ignorar a autenticação de dois fatores do Facebook, escreveu o fornecedor de segurança.
Se a extensão encontrasse uma conta comercial do Facebook, ela coletava rapidamente todas as informações pertencentes a essa conta, incluindo promoções ativas no momento, saldo de crédito, moeda, limite mínimo de cobrança e se a conta poderia ter uma facilidade de crédito associada a ela. “Mais tarde, a extensão examina todos os dados coletados, os prepara e os envia de volta ao servidor C2 usando as seguintes chamadas de API – cada uma de acordo com a relevância e o tipo de dados”.
Um cibercriminoso motivado financeiramente
Guardio avaliou que o agente da ameaça provavelmente venderá as informações que colheu da campanha para o maior lance. A empresa também prevê a possibilidade de o invasor criar um exército de bots de contas de empresas do Facebook sequestradas, que poderia ser usado para publicar anúncios maliciosos usando o dinheiro das contas das vítimas.
Guardio descreveu o malware como tendo mecanismos para contornar as medidas de segurança do Facebook ao lidar com solicitações de acesso a suas APIs. Por exemplo, antes que o Facebook conceda acesso por meio de sua API Meta Graph, ele primeiro confirma que a solicitação é de um usuário autenticado e também de origem confiável, disse Guardio. Para contornar a precaução, o agente da ameaça incluiu um código na extensão maliciosa do navegador que garantiu que todas as solicitações ao site do Facebook do navegador da vítima tivessem seus cabeçalhos modificados para que parecessem se originar de lá também.
“ Isso dá à extensão a capacidade de navegar livremente em qualquer página do Facebook (incluindo fazer chamadas e ações de API) usando seu navegador infectado e sem deixar vestígios”, escreveram os pesquisadores do Guardio no relatório sobre a ameaça.
FONTE: DARK READING