Τις τελευταίες ώρες κυκλοφορούν ανησυχητικές αναφορές σχετικά με μια κακόβουλη έκδοση της επέκτασης ChatGPT για τον Chrome, η οποία έχει κατέβει περισσότερες από 9.000 φορές και κλέβει λογαριασμούς στο Facebook.

Η επέκταση είναι ένα κακόβουλο αντίγραφο του νόμιμου δημοφιλούς πρόσθετου για το Chrome, “ChatGPT for Google“, που προσφέρει ενσωμάτωση του ChatGPT στα αποτελέσματα αναζήτησης. Η κακόβουλη έκδοση, όμως, έχει σχεδιαστεί για να κλέβει Facebook session cookies.

Η επέκταση “ανέβηκε” στο Chrome Web Store στις 14 Φεβρουαρίου, αλλά άρχισε να προωθείται μέσω διαφημίσεων Google search ένα μήνα μετά, στις 14 Μαρτίου 2023.

Δείτε επίσης: Η ομάδα Kimsuky χρησιμοποιεί Chrome extensions για να κλέψει Gmail emails

Ο ερευνητής που ανακάλυψε την κακόβουλη επέκταση ChatGPT, ο Nati Tal από τη Guardio Labs, αναφέρει ότι η επέκταση επικοινωνεί με την ίδια υποδομή που χρησιμοποιήθηκε πρόσφατα από ένα παρόμοιο Chrome add-on που συγκέντρωσε 4.000 εγκαταστάσεις προτού η Google το αφαιρέσει από το Chrome Web Store.

Έτσι, φαίνεται ότι αυτή η νέα έκδοση είναι μέρος της ίδιας καμπάνιας.

Η κακόβουλη επέκταση στοχεύει Facebook accounts

Όπως είπαμε και παραπάνω, η κακόβουλη επέκταση προωθείται μέσω διαφημίσεων στα αποτελέσματα Αναζήτησης της Google. Μια αναζήτηση με “Chat GPT 4“, μπορεί να οδηγήσει στη σελίδα με την ψεύτικη επέκταση.

Κάνοντας κλικ στα χορηγούμενα αποτελέσματα αναζήτησης, οι χρήστες μεταφέρονται σε μια ψεύτικη σελίδα προορισμού “ChatGPT for Google“, και από εκεί, στη σελίδα της επέκτασης στο επίσημο κατάστημα πρόσθετων του Chrome.

Αφού το θύμα εγκαταστήσει την επέκταση, θα δει ότι η επέκταση λειτουργεί σωστά (ενσωμάτωση ChatGPT στα αποτελέσματα αναζήτησης), καθώς ο κώδικας του νόμιμου extension υπάρχει κανονικά για να μην καταλαβαίνουν οι χρήστες ότι κάτι πάει στραβά. Ωστόσο, το κακόβουλο πρόσθετο επιχειρεί να κλέψει session cookies για Facebook accounts.

Δείτε επίσης: Fake ChatGPT apps/sites διανέμουν Windows & Android malware

Τα κλεμμένα cookies επιτρέπουν στους επιτιθέμενους να συνδεθούν σε έναν λογαριασμό Facebook ως χρήστης και να αποκτήσουν πλήρη πρόσβαση στα προφίλ.

Το κακόβουλο λογισμικό κάνει κατάχρηση του Chrome Extension API για να αποκτήσει μια λίστα cookies που σχετίζονται με το Facebook. Στη συνέχεια, τα κρυπτογραφεί χρησιμοποιώντας ένα AES key.

Τέλος, στέλνει τα κλεμμένα δεδομένα μέσω ενός GET request στον διακομιστή του εισβολέα.

Στη συνέχεια, οι φορείς απειλών αποκρυπτογραφούν τα κλεμμένα cookies για να κλέψουν τα Facebook sessions των θυμάτων, για εκστρατείες κακόβουλης διαφήμισης ή για να προωθήσουν απαγορευμένο υλικό όπως η προπαγάνδα του ISIS.

Αξίζει ακόμα να σημειωθεί ότι το κακόβουλο λογισμικό που εγκαθίσταται μέσω της ψεύτικης επέκτασης ChatGPT, αλλάζει αυτόματα τα στοιχεία σύνδεσης στους λογαριασμούς, ώστε οι χρήστες να μην μπορούν να αποκτήσουν πρόσβαση στο λογαριασμό τους στο Facebook. Αλλάζει επίσης το όνομα και η εικόνα προφίλ σε μια ψεύτικη περσόνα που ονομάζεται “Lilly Collins”.

Ο ερευνητής ασφαλείας ανέφερε την κακόβουλη επέκταση στην ομάδα του Chrome Web Store.

Ένας εκπρόσωπος της Google είπε στο BleepingComputer σχετικά με την κακόβουλη επέκταση ChatGPT του Chrome:

Δεν επιτρέπουμε διαφημίσεις στην πλατφόρμα μας που χρησιμοποιούν κακόβουλες τεχνικές όπως το phishing. Ελέγξαμε τις εν λόγω διαφημίσεις και λάβαμε τις κατάλληλες ενέργειες. Η επέκταση δεν είναι πλέον διαθέσιμη από το Chrome Web Store“.

Δείτε επίσης: Κυκλοφόρησαν PoC exploits για ευπάθειες του router Netgear Orbi

Εάν έχετε εγκατεστημένο το ChatGPT για Google στον υπολογιστή σας και θέλετε να ελέγξετε αν είναι νόμιμο, κάντε κλικ στο εικονίδιο του παζλ στα δεξιά της γραμμής διευθύνσεων του Chrome και, στη συνέχεια, στo “Manage Extensions“. Κάντε κλικ στο κουμπί Details για την επέκταση και, στη συνέχεια, “View in Chrome Web Store“. Η καταχώριση για την επίσημη επέκταση θα εμφανίζει το “chatgpt4google.com” ως τον επαληθευμένο προγραμματιστή και θα δείχνει πάνω από ένα εκατομμύριο χρήστες.

Πηγή: www.bleepingcomputer.com