GR
Λίγες ώρες μετά την αναφορά του Guardio στην Google, η επέκταση έχει πλέον αφαιρεθεί από το κατάστημα Chrome. Κατά τη στιγμή της αφαίρεσης, είχε δηλωθεί ότι την είχαν εγκαταστήσει 9000+ χρήστες.
Η νέα παραλλαγή της επέκτασης FakeGPT Chrome, με τίτλο "Chat GPT For Google", στοχεύει για άλλη μια φορά τους λογαριασμούς σας στο Facebook υπό την κάλυψη μιας ενσωμάτωσης ChatGPT για το πρόγραμμα περιήγησης. Αυτή τη φορά, οι απειλητικοί φορείς δεν χρειάστηκε να δουλέψουν σκληρά για την εμφάνιση και την αίσθηση αυτής της κακόβουλης επέκτασης με θέμα ChatGPT - απλά διχάλασαν και επεξεργάστηκαν ένα γνωστό έργο ανοιχτού κώδικα που κάνει ακριβώς αυτό. Από το μηδέν στον "ήρωα" σε πιθανώς λιγότερο από 2 λεπτά.
Αριστερά: Η παραλλαγή "FakeGPT" στο Chrome Store. Δεξιά: Η γνήσια επέκταση "ChatGPT for Google"
Η γνήσια επέκταση "ChatGPT for Google" βασίζεται σε αυτό το έργο ανοικτού κώδικα, το οποίο απέκτησε δημοτικότητα και εκατομμύρια χρήστες τους τελευταίους μήνες. Ως έργο ανοικτού κώδικα, έχει ως στόχο να μοιράζεται γνώσεις και να συμβάλλει στην κοινότητα των προγραμματιστών - δεν γνώριζαν ότι θα γινόταν τόσο εύκολα κατάχρηση για κακόβουλες δραστηριότητες.
Αυτή τη φορά, η κακόβουλη επέκταση δεν προωθείται με τη χρήση χορηγούμενων αναρτήσεων στο Facebook, αλλά με κακόβουλα χορηγούμενα αποτελέσματα αναζήτησης της Google, όπως έχουμε δει με πολλές άλλες δραστηριότητες τον τελευταίο καιρό.
Και έτσι, κάνετε αναζήτηση για "Chat GPT 4", ανυπόμονοι να δοκιμάσετε τον νέο αλγόριθμο, καταλήγοντας να κάνετε κλικ σε ένα χορηγούμενο αποτέλεσμα αναζήτησης που σας υπόσχεται ακριβώς αυτό. Αυτό σας ανακατευθύνει σε μια σελίδα προορισμού που σας προσφέρει το ChatGPT ακριβώς μέσα στη σελίδα αποτελεσμάτων αναζήτησης - το μόνο που απομένει είναι να εγκαταστήσετε την επέκταση από το επίσημο Chrome Store. Αυτό θα σας δώσει πρόσβαση στο ChatGPT από τα αποτελέσματα αναζήτησης, αλλά θα θέσει επίσης σε κίνδυνο το λογαριασμό σας στο Facebook σε μια στιγμή!
Ροή επίθεσης από την Αναζήτηση Google σε παραβιασμένους λογαριασμούς Facebook
Βασισμένη στην έκδοση 1.16.6 του έργου ανοιχτού κώδικα, αυτή η παραλλαγή FakeGPT εκτελεί μόνο μία συγκεκριμένη κακόβουλη ενέργεια, αμέσως μετά την εγκατάσταση, και τα υπόλοιπα είναι βασικά ίδια με τον γνήσιο κώδικα - δεν αφήνει λόγους να υποψιαστεί κανείς.
Η γνήσια σελίδα του έργου ChatGPT for Google Open-Source Project στο GitHub
Κοιτάζοντας τη συνάρτηση χειρισμού OnInstalled που ενεργοποιείται μόλις εγκατασταθεί η επέκταση, βλέπουμε ότι η γνήσια επέκταση τη χρησιμοποιεί απλώς για να βεβαιωθείτε ότι βλέπετε την οθόνη επιλογών (για να συνδεθείτε στο λογαριασμό σας στο OpenAI). Από την άλλη πλευρά, ο διχαλωμένος, που έγινε κακόβουλος, κώδικας εκμεταλλεύεται αυτήν ακριβώς τη στιγμή για να αρπάξει τα cookies συνόδου σας - όπως μπορούμε να δούμε σε αυτό το δείγμα κώδικα deobfuscated από την κακόβουλη επέκταση
Αυτό που βλέπουμε εδώ είναι απλό Cookie-Hijacking, αφιερωμένο και πάλι στο Facebook, όπως φαίνεται στο παρακάτω απόσπασμα κώδικα, όπου η συνάρτηση et() φιλτράρει τα cookies που σχετίζονται με το Facebook από την πλήρη λίστα που αποκτήθηκε με το Chrome Extension API. Αργότερα, η xa()χρησιμοποιείται για την κρυπτογράφηση των πάντων με AES χρησιμοποιώντας το κλειδί "chatgpt4google":
Μόλις η λίστα είναι έτοιμη, αποστέλλεται με ένα αίτημα GET στον διακομιστή C2 που φιλοξενείται στην υπηρεσία workers.dev, την ίδια υπηρεσία που είδαμε στην αρχική παραλλαγή του FakeGPT.
Η λίστα cookies κρυπτογραφείται με AES και επισυνάπτεται στην τιμή κεφαλίδας HTTP X-Cached-Key. Αυτή η τεχνική χρησιμοποιείται εδώ για να προσπαθήσει να βγάλει κρυφά τα cookies χωρίς οι μηχανισμοί DPI (Deep Packet Inspection) να εγείρουν συναγερμούς στο ωφέλιμο φορτίο του πακέτου (γι' αυτό και είναι κρυπτογραφημένο).
Σημειώστε μόνο ότι δεν υπάρχει κεφαλίδα X-Cached-Key στο πρωτόκολλο HTTP! Υπάρχει μια κεφαλίδα X-Cache-Key (χωρίς το 'd') που χρησιμοποιείται για απαντήσεις, όχι για αιτήσεις. Αλλά αυτό δεν ενοχλεί τους απατεώνες που παίρνουν ακριβώς αυτό που χρειάζονται από παραβιασμένους browsers:
Η αποκρυπτογράφηση της τιμής Header θα μας δώσει αυτή την ευανάγνωστη λίστα με όλα τα τρέχοντα cookies συνόδου του Facebook που είναι ενεργά στο πρόγραμμα περιήγησης, που μοιάζει κάπως έτσι (μειωμένη λίστα):
Στο παραπάνω αίτημα, ο διακομιστής C2 απαντά με ένα γενικό σφάλμα 404 και αυτό είναι όλο - " Όλο το Facebook σας ανήκει σε εμάς!"
Για τους φορείς απειλών, οι δυνατότητες είναι ατελείωτες - χρησιμοποιώντας το προφίλ σας ως bot για σχόλια, likes και άλλες προωθητικές δραστηριότητες, ή δημιουργώντας σελίδες και λογαριασμούς διαφήμισης χρησιμοποιώντας τη φήμη και την ταυτότητά σας, ενώ προωθούν υπηρεσίες που είναι νόμιμες και πιθανότατα ως επί το πλείστον όχι.
Με αυτά τα cookies, η συνεδρία σας στο Facebook μπορεί να ξεπεραστεί γρήγορα, να αλλάξουν τα βασικά στοιχεία σύνδεσης του λογαριασμού σας και από αυτό το σημείο και μετά να χάσετε τον έλεγχο του προφίλ σας χωρίς να υπάρχει τρόπος να τον ανακτήσετε. Αυτό θα ακολουθήσει η αυτόματη αλλαγή του ονόματος και της εικόνας του προφίλ - πιθανότατα σε ένα ακόμη ψεύτικο "Lilly Collins" (που φαίνεται να είναι το αγαπημένο τους) και φυσικά, τα προσωπικά σας δεδομένα θα συλλεχθούν (για περισσότερο κέρδος) και θα διαγραφούν οριστικά για να δημιουργηθεί χώρος για κακόβουλες ενέργειες.
Έχουμε δει τόσα πολλά προφίλ χρηστών να πέφτουν σε αυτό τον τελευταίο καιρό, πολλά από τα οποία χρησιμοποιήθηκαν αργότερα για την προώθηση περισσότερων κακόβουλων δραστηριοτήτων εντός του οικοσυστήματος του Facebook, ακόμη και για απλή και ξεκάθαρη προπαγάνδα του χειρότερου είδους.
Ένα αρκετά βάναυσο παράδειγμα για να τα οπτικοποιήσετε όλα αυτά είναι αυτή η επαγγελματική σελίδα της RV-selling που καταλαμβάνεται στις 4 Μαρτίου 2023. Εξακολουθεί να είναι διαθέσιμη στην αρχική διεύθυνση URL https://www[.]facebook[.]com/shadymaplefarmmarket και τώρα χρησιμοποιείται για την προώθηση του περιεχομένου του ISIS. Δείτε πώς η Lily Collins προστίθεται αυτόματα ως φωτογραφία προφίλ αμέσως μετά την αεροπειρατεία (πιθανότατα από ένα αυτοματοποιημένο σύστημα που χρησιμοποιείται από απατεώνες). Αυτή ενημερώνεται αργότερα σε εικόνες με θέμα το ISIS, πιθανώς μετά την πώλησή της σε άλλον ηθοποιό που θέλει να διαδώσει αυτό το είδος περιεχομένου χρησιμοποιώντας κλεμμένους λογαριασμούς υψηλού προφίλ στο Facebook:
Παράδειγμα μιας κακοποιημένης επαγγελματικής σελίδας στο Facebook που χρησιμοποιείται για την προώθηση περιεχομένου του ISIS
Η κατάχρηση του εμπορικού σήματος και της δημοτικότητας του ChatGPT συνεχίζει να αυξάνεται, και χρησιμοποιείται όχι μόνο για τη συλλογή λογαριασμών στο Facebook και όχι μόνο με κακόβουλες ψεύτικες επεκτάσεις για τον Chrome. Σημαντικές υπηρεσίες που προσφέρονται από το Facebook, τη Google και άλλα μεγάλα ονόματα δέχονται συνεχείς επιθέσεις και καταχρήσεις, ενώ στο τέλος όλων αυτών - αυτοί που πλήττονται κυρίως εδώ είμαστε εμείς, οι χρήστες.
Η ευαισθητοποίηση είναι ένας κρίσιμος παράγοντας για να αποφύγετε αυτές τις επιθέσεις και να διατηρήσετε τα δεδομένα σας ιδιωτικά, ωστόσο αυτές τις μέρες είναι όλο και πιο προφανές ότι ακόμη και για τους οικιακούς/περιστασιακούς χρήστες του διαδικτύου πρέπει να υπάρχουν κάποιου είδους υπηρεσίες προστασίας και ανίχνευσης ασφαλείας που να είναι πιο σχετικές και εστιασμένες στις ανάγκες τους - ξεπερνώντας αυτά τα τεράστια κενά ασφαλείας που πλήττουν μαζικά τους χρήστες.
Διαβάστε περισσότερα για την εκστρατεία "FakeGPT":
Αυτό το άρθρο δημοσιεύθηκε σε συνεργασία με την Guardio Labs.
Πηγή εικόνας: unsplash.com
