0
0
Mais uma versão da extensão de navegador ChatGPT maliciosa, que rouba contas do Facebook para o Google Chrome, surgiu, representando uma nova variante em uma campanha que afeta milhares de usuários diariamente.
A extensão, descoberta pelo Guardio Labs , foi baixada mais de 9.000 vezes antes de o Google removê-la da loja Chrome em 22 de março.
A extensão também foi anunciada por meio de resultados de pesquisa patrocinados do Google, visando usuários que buscavam detalhes sobre o mais recente algoritmo Chat GPT4 da OpenAI. Indivíduos que clicaram em resultados patrocinados para o popular aplicativo de IA generativa foram direcionados para uma página da Web falsificada “ChatGPT for Google” e, em seguida, levados à página da extensão maliciosa na loja oficial do Chrome.
Uma vez instalado, o malware explora a Chrome Extension API para roubar cookies de sessão para contas do Facebook, dando aos agentes de ameaça acesso total à conta do Facebook da vítima.
“Com base na versão 1.16.6 do projeto de código aberto, esta variante do FakeGPT executa apenas uma ação maliciosa específica, logo após a instalação, e o restante é basicamente o mesmo que o código original – não deixando motivos para suspeitar disso”, Nati Tal , chefe do Guardio Labs , escreveu em um post de blog.
A versão mais recente da extensão maliciosa segue uma descoberta no início deste mês pelos pesquisadores da Guardio, que pode sequestrar contas do Facebook Business.
De 3 a 9 de março, um mínimo de 2.000 pessoas por dia adquiriram a extensão maliciosa “Acesso rápido ao ChatGPT” do Chrome na loja de aplicativos do Google Play.
Se a extensão conseguisse acessar uma conta do Facebook Business, ela coletaria imediatamente todos os dados relevantes relacionados a essa conta, como promoções em andamento, crédito disponível, moeda, limite mínimo de cobrança e qualquer linha de crédito vinculada.
Extensões maliciosas do Chrome são uma ameaça crescente
As extensões maliciosas do Chrome têm sido uma preocupação global para os usuários do popular navegador. Em agosto de 2022, um grupo de analistas do McAfee Labs publicou uma lista de cinco extensões de navegador que se envolvem no preenchimento de cookies, uma delas usando o serviço de streaming de vídeo Netflix como gancho.
Essas extensões monitoram a atividade de navegação do usuário e inserem IDs ilegítimos em sites de comércio eletrônico, resultando em pagamentos de afiliados forjados.
Nesse caso, os aplicativos foram baixados 1,4 milhão de vezes , de acordo com suas descobertas.
Em novembro de 2022, pesquisadores do Zimperium zLabs descobriram uma extensão de navegador maliciosa “semelhante a um canivete suíço” chamada Cloud9 , destinada a usuários do Chrome e do Microsoft Edge. Ele permite que os invasores assumam o controle da sessão do navegador de um usuário remotamente e executem uma ampla gama de ataques.
O relatório Zimperium observou que, como o malware Cloud9 não tem como alvo nenhum grupo específico, é tanto uma ameaça corporativa quanto uma ameaça ao consumidor.
Atores de ameaças norte-coreanos de Kimsuky visam o Chrome
Mais recentemente, o Escritório Federal Alemão para a Proteção da Constituição (BfV) e o serviço de inteligência sul-coreano (NIS) emitiram um alerta sobre um grupo de espionagem cibernética que teria como alvo agências governamentais e organizações de pesquisa em todo o mundo.
Acredita-se que o grupo Kimsuky de cibercriminosos , também conhecido como Velvet Chollima ou Thallium, esteja sediado na Coreia do Norte e use extensões maliciosas do navegador Chrome, bem como serviços de lojas de aplicativos, para atingir indivíduos que realizam pesquisas sobre o conflito intercoreano.
Os hackers usam os chamados ataques de spear phishing. Neles, os alvos são atraídos por e-mails para versões falsas de sites conhecidos disfarçados de legítimos ou induzidos a instalar uma extensão de navegador manipulada.
No processo, os dados de login e outras informações pessoais podem ser interceptados pelos invasores. Outro método usado pelos hackers é instalar malware despercebido em smartphones Android por meio da loja de aplicativos do Google Play.
FONTE: DARK READING