Новость Fake chatgpt for chrome in Web Store


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 165
Репутация
8 295
Google удалила из официального Chrome Web Store поддельное расширение для Chrome, которое маскировалось под официальный ChatGPT от OpenAI и был загружено более 9000 раз.

Дело в том, что расширение похищало cookie сеансов Facebook * и использовалось для захвата чужих учетных записей.

infection-chain.jpg

Общая схема атаки

Вредоносное расширение было копией настоящего и якобы предлагало интеграцию ChatGPT с результатами поиска.

Расширение было загружено в Chrome Web Store 14 февраля 2023 года, но автор начал продвигать его с помощью рекламы в поиске Google только 14 марта 2023 года.

С тех пор оно устанавливалось в среднем 1000 раз в день.


fakeGPT.jpg

Фальшивка (слева) и оригинал (справа)

Малварь обнаружили специалисты из компании , которые сообщают, что расширение взаимодействовало с той же инфраструктурой, которая ранее в этом месяце использовалась для Chrome, которое успело набрать более 4000 установок, прежде чем было обнаружено и удалено.
Очевидно, второе расширение было частью той же кампании, и хакеры хранили его в качестве резервной копии на тот случай, если первое расширение будет удалено из официального магазина.

Когда жертва устанавливала расширение, она действительно получала обещанную функциональность (интеграцию ChatGPT с результатами поиска), так как вредонос был копией настоящего продукта OpenAI. Однако в этой версии в код добавили функциональность, которая пыталась украсть cookie сеанса Facebook*.

Такие cookie позволяли злоумышленникам войти в чужую учетную запись Facebook* под видом жертвы и получить полный доступ к профилю, который теперь можно было использовать как угодно, включая функции рекламы для бизнеса.

Исследователи рассказали, что малварь злоупотребляла Chrome Extension API, чтобы получить список файлов cookie, связанных с Facebook*, а затем шифровало их с помощью AES и отправляло украденные данные своим операторам через GET-запрос.


get-cookies.jpg


Отмечается, что «угнанные» таким способом аккаунты в итоге использовались для распространения вредоносной рекламы и для продвижения запрещенных материалов, включая пропаганду запрещенной в РФ организации ИГИЛ.

При этом злоумышленники автоматически изменяли учетные данные для взломанных профилей, чтобы усложнить жертвам процесс возвращения контроля над аккаунтом. Также имя профиля и изображение менялись на фальшивую личность некой «Lilly Collins».

lilly.jpg


В настоящее время расширение уже удалено из Chrome Web Store, но исследователи отмечают, что на такой случай у злоумышленников «в резерве» могут хранится другие аналогичные подделки.

Оригинал:
 
Верх Низ