Milhares de Facebook contas foram roubadas devido a uma versão trojanizada da extensão ChatGPT legítima para Google Chrome. A versão trojanizada da extensão ChatGPT conseguiu ganhar popularidade com mais de 9.000 downloads.
Os cibercriminosos replicaram a extensão genuína “ChatGPT for Google” do Chrome, fornecendo integração perfeita dos resultados de pesquisa.
além da Facebook cookies de sessão, a versão maliciosa possui código adicional para roubá-los Facebook.
Esta extensão foi publicada pela editora em 14 de fevereiro de 2023 e disponibilizada para usuários da Chrome Web Store. No entanto, a editora não promoveu o título até 14 de março de 2023, quando utilizou anúncios da Pesquisa Google.
Malvertising ativado Facebook
Descobriu-se que a extensão se comunica com a mesma infraestrutura da versão principal anterior. Um complemento idêntico do Chrome foi removido da Chrome Web Store no início deste mês, após acumular 4.000 instalações.
As operadoras mantiveram um backup desta nova variante na Chrome Web Store como parte da mesma campanha. Resumindo, se o primeiro for reportado e removido, este será utilizado como proxy de backup.
Quando você pesquisa por Chat GPT 4 nos resultados da Pesquisa Google, você notará que vários anúncios que acompanham a extensão maliciosa são exibidos com destaque nos resultados da pesquisa. Resumindo, os agentes de ameaças promovem ativamente a extensão por meio do Google Ads.
Os usuários podem acessar a loja oficial de complementos do Chrome clicando nos resultados de pesquisa patrocinados, que na verdade são páginas de destino falsas para “ChatGPT para Google”.
É importante observar que quando a vítima instala a extensão, a vítima obterá a funcionalidade que lhe foi prometida, uma vez que o código da extensão legítima ainda está intacto.
Depois de obter acesso aos seus dados furtados, o agente mal-intencionado provavelmente os venderá ao licitante com lance mais alto.
No entanto, após um exame mais atento do seu modus operandi, descobrimos que eles demonstram maior atenção para com Facebook contas empresariais com maior perfil público.
Um agente de ameaça pode usar esses cookies roubados para fazer login em um Facebook conta em nome do usuário e obter acesso completo ao perfil do usuário e a quaisquer recursos de publicidade da empresa que possam estar disponíveis.
Aqui uma lista de FacebookOs cookies relacionados são obtidos pelo malware usando uma API de extensão do Chrome e, em seguida, são criptografados usando uma chave AES e enviados ao malware por meio de um canal seguro.
Depois de proteger as informações roubadas, ele as enviará ao servidor do invasor por meio de uma solicitação GET.
Depois que os cookies roubados forem descriptografados, os agentes da ameaça os usarão para sequestrar o Facebook sessões de suas vítimas para realizar campanhas de malvertising ou para promover material proibido, como propaganda do ISIS.
Para evitar que as vítimas recuperem o controlo sobre os seus Facebook contas, o malware altera automaticamente as informações de login nas contas violadas para que não possam obter acesso às suas contas no futuro.
Desde o seu lançamento, esta extensão ganhou muita popularidade entre usuários em todo o mundo, com mais de 2.000 extensões instaladas diariamente.
Esta extensão maliciosa para o Google Chrome ainda está disponível na Google Chrome Web Store e precisa ser removida. Apesar disso, a equipe da Chrome Web Store foi alertada sobre a extensão maliciosa e espera-se que seja removida em breve.
Cobertura Relacionada:
