GR
Η ερευνητική ομάδα ασφαλείας της Guardio παρακολουθεί συνεχώς τη δραστηριότητα γύρω από την κατάχρηση του εμπορικού σήματος της ChatGPT, με ατελείωτες εκστρατείες διάδοσης κακόβουλου λογισμικού και phishing για τις πιστωτικές σας κάρτες. Στις 3/3/2023, η ομάδα μας εντόπισε μια νέα παραλλαγή μιας κακόβουλης ψεύτικης επέκτασης του προγράμματος περιήγησης ChatGPT, μέρος μιας εκστρατείας που ξεκίνησε στις αρχές Φεβρουαρίου με πολλές άλλες κακόβουλες επεκτάσεις με το εμπορικό σήμα ChatGPT. Αυτή τη φορά αναβαθμισμένη με μια απειλητική τεχνική για την κατάληψη των λογαριασμών σας στο Facebooks, καθώς και μια εξελιγμένη προσέγγιση που μοιάζει με σκουλήκι για τη διάδοση.
Το κακόβουλο stealer-extension, με τίτλο "Γρήγορη πρόσβαση στο Chat GPT" προωθείται σε διαφημιστικές αναρτήσεις στο Facebook ως ένας γρήγορος τρόπος για να ξεκινήσετε με το ChatGPT απευθείας από το πρόγραμμα περιήγησής σας. Παρόλο που η επέκταση σας δίνει αυτό (με απλή σύνδεση στο επίσημο API του ChatGPT), συλλέγει επίσης κάθε πληροφορία που μπορεί να πάρει από το πρόγραμμα περιήγησής σας, κλέβει cookies από εξουσιοδοτημένες ενεργές συνεδρίες σε οποιαδήποτε υπηρεσία έχετε, και επίσης χρησιμοποιεί προσαρμοσμένες τακτικές για να καταλάβει το λογαριασμό σας στο Facebook.
Από την κακόβουλη διαφήμιση, την εγκατάσταση επέκτασης, την πειρατεία λογαριασμών Facebook και πάλι πίσω στη διάδοση
Μόλις ο Threat Actor πάρει την κυριότητα των κλεμμένων δεδομένων σας, πιθανότατα θα τα πουλήσει στον πλειοδότη, όπως συνήθως, ωστόσο, ενώ ερευνήσαμε βαθύτερα αυτή την επιχείρηση, παρατηρήσαμε την ιδιαίτερη προσοχή τους σε επαγγελματικούς λογαριασμούς υψηλού προφίλ στο Facebook. Με αυτή την προσέγγιση, η εκστρατεία μπορεί να συνεχίσει να διαδίδεται με τον δικό της στρατό από πειραχθέντες λογαριασμούς bot στο Facebook, δημοσιεύοντας περισσότερες χορηγούμενες αναρτήσεις και άλλες κοινωνικές δραστηριότητες για λογαριασμό των προφίλ των θυμάτων της και ξοδεύοντας πιστώσεις χρημάτων από επιχειρηματικούς λογαριασμούς!
Η παραπάνω υψηλού επιπέδου περιγραφή της καμπάνιας κρύβει μέσα της κάποιες εξελιγμένες τεχνικές για τη συλλογή των στοιχείων των θυμάτων και την κατάληψη των λογαριασμών Facebook. Αυτές κάνουν κατάχρηση διαδικτυακών υπηρεσιών και ισχυρών API τόσο από τη Google όσο και από το Facebook - δίνοντας σε αυτούς τους φορείς απειλών μερικά πολύ ισχυρά εργαλεία για επιτυχία.
Μόλις εγκατασταθεί η επέκταση, σας δίνει αυτό που διαφημίζεται - ένα μικρό αναδυόμενο παράθυρο που εμφανίζεται αφού κάνετε κλικ στο εικονίδιο της επέκτασης, με την προτροπή να ζητήσετε από το ChatGPT ό,τι θέλετε.
Ωστόσο, αυτό είναι ακριβώς το σημείο όπου αρχίζει να γίνεται ύποπτο. Η επέκταση αποτελεί πλέον αναπόσπαστο μέρος του προγράμματος περιήγησής σας. Έτσι, μπορεί να στείλει οποιοδήποτε αίτημα σε οποιαδήποτε άλλη υπηρεσία - σαν να το ξεκινούσε ο ίδιος ο ιδιοκτήτης του προγράμματος περιήγησης από το ίδιο πλαίσιο. Αυτό είναι ζωτικής σημασίας - καθώς το πρόγραμμα περιήγησης, στις περισσότερες περιπτώσεις, έχει ήδη μια ενεργή και πιστοποιημένη συνεδρία με σχεδόν όλες τις καθημερινές σας υπηρεσίες, π.χ. το Facebook.
Πιο συγκεκριμένα, αυτό επιτρέπει στην επέκταση να έχει πρόσβαση στο Graph API της Meta για προγραμματιστές - επιτρέποντας στον απειλητικό παράγοντα να έχει γρήγορη πρόσβαση σε όλα τα στοιχεία σας και επίσης να εκτελεί ενέργειες εκ μέρους σας απευθείας στο λογαριασμό σας στο Facebook χρησιμοποιώντας απλές κλήσεις API.
Φυσικά υπάρχουν περιορισμοί και μέτρα ασφαλείας που λαμβάνονται από το Facebook - π.χ. η διασφάλιση ότι τα αιτήματα προέρχονται από έναν πιστοποιημένο χρήστη καθώς και από τη σχετική προέλευση. Η επέκταση έχει ήδη μια αυθεντικοποιημένη σύνοδο με το Facebook, αλλά τι γίνεται με την προέλευση των αιτημάτων που στέλνει; Λοιπόν, χάρη στο δηλωτικό APINetRequest του Chrome, η επέκταση έχει έναν απλό τρόπο να παρακάμψει την προστασία του facebook.
Το ακόλουθο κομμάτι κώδικα καλείται στην κακόβουλη επέκταση αμέσως κατά την έναρξη, διασφαλίζοντας ότι όλες οι αιτήσεις που γίνονται στο facebook.com από οποιαδήποτε πηγή στο πρόγραμμα περιήγησής σας (συμπεριλαμβανομένης της ίδιας της επέκτασης) θα έχουν τροποποιημένες επικεφαλίδες ώστε να αντικατοπτρίζουν την προέλευση ως "facebook.com" επίσης. Αυτό δίνει στην επέκταση τη δυνατότητα να περιηγείται ελεύθερα σε οποιαδήποτε σελίδα του Facebook (συμπεριλαμβανομένης της πραγματοποίησης κλήσεων και ενεργειών API) χρησιμοποιώντας το μολυσμένο πρόγραμμα περιήγησής σας και χωρίς κανένα ίχνος.
Σημειώστε ότι η μεταβλητή d περιέχει το σχετικό domain (στην περίπτωσή μας facebook.com), όπως στάλθηκε πίσω στην επέκταση από τον διακομιστή C2 στη διεύθυνση api2[.]openai-service[.]workers[.]dev
Τώρα, μόλις το θύμα ανοίξει τα παράθυρα της επέκτασης και γράψει μια ερώτηση στο ChatGPT, το ερώτημα αποστέλλεται στους διακομιστές OpenAIs για να σας κρατήσει απασχολημένους - ενώ στο παρασκήνιο ενεργοποιεί αμέσως τη συγκομιδή.
Ακολουθούν μερικά παραδείγματα αποδιαρθρωμένου κώδικα από την κακόβουλη πηγή της επέκτασης. Ήταν γραμμένος σε typescript και πακεταρισμένος/minified, ωστόσο χρησιμοποιώντας τα αρχεία .map στο εσωτερικό του καταφέραμε να ανασυνθέσουμε τον κώδικα ώστε να είναι πιο ευανάγνωστος - δείχνοντας όλα τα ονόματα συναρτήσεων και μεταβλητών που προέκυψαν να είναι πραγματικά κατατοπιστικά και αρκετά προφανή για τις πραγματικές προθέσεις αυτού του κώδικα με την πρώτη ματιά:
Οι παραπάνω είναι οι κύριες λειτουργίες που εκτελούν διάφορα ερωτήματα χρησιμοποιώντας το Graph API του Facebook καθώς και άλλα API του Chrome, όπως το να λαμβάνετε όλα τα cookies σας. Ένα αξιοσημείωτο παράδειγμα από τον κώδικα:
Η παραπάνω κλήση του Graph API θα δώσει στους επιτιθέμενους όλα όσα χρειάζονται σχετικά με τον Επαγγελματικό σας λογαριασμό στο Facebook (εάν είναι διαθέσιμος), συμπεριλαμβανομένων των ενεργών προωθητικών ενεργειών και του πιστωτικού σας υπολοίπου. Αργότερα, η επέκταση εξετάζει όλα τα συλλεχθέντα δεδομένα, τα προετοιμάζει και τα στέλνει πίσω στον διακομιστή C2 χρησιμοποιώντας τις ακόλουθες κλήσεις API - κάθε μία ανάλογα με τη συνάφεια και τον τύπο δεδομένων:
Κάθε κλήση περιλαμβάνει ένα λεπτομερές ωφέλιμο φορτίο σε μορφή JSON με ΟΛΑ όσα χρειάζονται, συμπεριλαμβανομένων των cookies συνόδου, του υπολοίπου χρημάτων και άλλων στοιχείων. Απλά ένα γρήγορο παράδειγμα των βασικών δεδομένων που διαχέονται:
Παράδειγμα εξερχόμενων δεδομένων από την επέκταση στο C2 κατά την κλήση API "add-data-account"
Παράδειγμα εξερχόμενων δεδομένων από την επέκταση στο C2 κατά την κλήση API "add-ads-manager"
Στο πρώτο παράδειγμα, ο πλήρης κατάλογος των cookies μειώθηκε για λόγους προβολής, ωστόσο θα διαπιστώσετε ότι υπάρχουν ΟΛΑ τα cookies που είναι αποθηκευμένα στο πρόγραμμα περιήγησής σας - συμπεριλαμβανομένων των tokens ασφαλείας και συνόδου σε υπηρεσίες όπως το YouTube, οι λογαριασμοί Google, το Twitter κ.λπ.
Στο δεύτερο παράδειγμα - μόλις η επέκταση διαπιστώσει ότι έχετε μια επαγγελματική σελίδα, θα συλλέξει τα στοιχεία του λογαριασμού σας στο Facebook και όλες τις τρέχουσες ρυθμίσεις των διαφημίσεών σας, καθώς και οικονομικά δεδομένα, όπως φαίνεται παραπάνω.
Τώρα οι απειλητικοί φορείς έχουν αρκετά δεδομένα για να βγάλουν κέρδος - Και ακόμα, αν βρήκαν τον λογαριασμό σας αρκετά ενδιαφέροντα για τους ίδιους (π.χ. έχετε μια επαγγελματική σελίδα με τόνους likes και ένα διαφημιστικό πλάνο με πιστώσεις που περιμένουν να ξοδευτούν) - ήρθε η ώρα να αναλάβουν και να πάρουν τον έλεγχο!
Μια ειδικά αναπτυγμένη ενότητα στον κώδικα της επέκτασης(Portal.ts) περιλαμβάνει μια κλάση με το όνομα Potal(ναι, με τυπογραφικό λάθος...) που είναι υπεύθυνη για αυτή τη μαγεία. Αντί να προσπαθήσει να συλλέξει κωδικούς πρόσβασης λογαριασμών ή να προσπαθήσει να παρακάμψει το 2FA με session tokens (το οποίο δεν είναι τόσο εύκολο λόγω των μέτρων ασφαλείας του Facebook), αυτός ο δράστης απειλής επιλέγει έναν άλλο τρόπο - μια κακόβουλη εφαρμογή Facebook.
Μια εφαρμογή στο πλαίσιο του οικοσυστήματος του Facebook είναι συνήθως μια υπηρεσία SaaS που εγκρίθηκε να χρησιμοποιεί το ειδικό API του, επιτρέποντας στην υπηρεσία τρίτου μέρους να λαμβάνει πληροφορίες λογαριασμού καθώς και να προβαίνει σε ενέργειες για λογαριασμό σας. Όλοι θυμόμαστε εκείνες τις εφαρμογές που spamάρουν το feed μας με διαφημιστικές αναρτήσεις, αλλά αυτός ο απειλητικός παράγοντας το πάει σε άλλο επίπεδο.
Η ενότητα Potal, για άλλη μια φορά, κάνει κατάχρηση του πλαισίου του αναδυόμενου παραθύρου ChatGPT για να στέλνει αιτήματα σε διακομιστές του Facebook για λογαριασμό σας - αυτή τη φορά αυτοματοποιεί ολόκληρη τη διαδικασία εγγραφής μιας εφαρμογής στο λογαριασμό σας και την έγκρισή της για να αποκτήσει, ουσιαστικά, μια ΠΛΗΡΗ ΛΕΙΤΟΥΡΓΙΑ ADMIN.
Αυτός ο δράστης απειλής χρησιμοποιεί 2 κύριες εφαρμογές, όπως φαίνεται στον κώδικα:
Η πρώτη κακόβουλη εφαρμογή του Facebook(πύλη) δεν είναι πλέον διαθέσιμη, αλλά η δεύτερη εξακολουθεί να είναι ζωντανή και να κλωτσάει. Για να καταλάβουμε πραγματικά τι κάνει, χειραγωγήσαμε τη σελίδα ρυθμίσεων του Facebook, αλλάζοντας το app_id μιας πραγματικής εγκατεστημένης εφαρμογής στο λογαριασμό μας με αυτό που χρησιμοποιεί αυτός ο δράστης απειλών:
Με αυτόν τον τρόπο αποκαλύψαμε το όνομά του, το εικονίδιο και το πιο σημαντικό - τον μακρύ (πραγματικά μακρύ) κατάλογο των δικαιωμάτων που του έχουν χορηγηθεί:
Αυτή η εφαρμογή, η οποία για κάποιο λόγο έχει πράγματι εγκριθεί από το Facebook και είναι λειτουργική, φαίνεται να ζητά όλα τα διαθέσιμα δικαιώματα! Από τον πλήρη έλεγχο του προφίλ και της δραστηριότητάς σας στο Facebook μέχρι τις εξουσίες διαχειριστή σε όλες τις ομάδες, τις σελίδες, τις επιχειρήσεις και φυσικά τους λογαριασμούς διαφημίσεων. Μπορούν ακόμη και να διαχειριστούν τους συνδεδεμένους λογαριασμούς σας στο WhatsApp και το Instagram!
Επιπλέον, χρησιμοποιεί το ίδιο όνομα και εικονίδιο με μια επίσημη εφαρμογή από το Facebook:
Η καταχώριση της επίσημης εφαρμογής Messenger Kids από το Facebook
Η διαδικασία αυτοματοποίησης της προσθήκης της εφαρμογής στους λογαριασμούς των θυμάτων μπορεί να φανεί σε αυτή την κύρια λειτουργία της μονάδας Potal . Όλες οι λειτουργίες εδώ χρησιμοποιούν, για άλλη μια φορά, το Facebook Graph API, χωρίς να απαιτείται καμία απολύτως αλληλεπίδραση από το θύμα - από το αίτημα για την προσθήκη της εφαρμογής, μέχρι τον έλεγχο ταυτότητας και την τελική επιβεβαίωση:
Αυτή τη φορά, τα δεδομένα που διαφεύγουν εδώ κρυπτογραφούνται πριν σταλούν πίσω στην πατρίδα τους - υποθέτουμε ότι αυτό οφείλεται στο ότι ο φορέας απειλής στοχεύει μόνο σε πραγματικά πολύτιμους στόχους με αυτή τη μέθοδο, καθώς και στη χρήση της αυτο-διάδοσης αυτής και άλλων κακόβουλων δραστηριοτήτων χρησιμοποιώντας διαφημιστικές αναρτήσεις στο Facebook που δημιουργήθηκαν με αυτούς τους λογαριασμούς.
Όχι μόνο αυτή η κακόβουλη επέκταση κυκλοφορεί ελεύθερα στο επίσημο κατάστημα του Chrome (και εξακολουθεί να είναι ζωντανή τη στιγμή που γράφονται αυτές οι γραμμές), αλλά κάνει επίσης κατάχρηση του επίσημου API εφαρμογών του Facebook με τρόπο που θα έπρεπε ήδη να έχει προκαλέσει την προσοχή των φορέων επιβολής πολιτικής. Για να μην αναφέρουμε τις ψευδείς και κακόβουλες προωθούμενες αναρτήσεις που εγκρίνονται τόσο εύκολα από το Facebook.
Υπάρχουν περισσότεροι από 2000 χρήστες που εγκαθιστούν αυτή την επέκταση σε καθημερινή βάση από την πρώτη εμφάνισή της στις 03/03/2023 - ο καθένας από αυτούς κλέβει το λογαριασμό του στο Facebook και πιθανώς αυτή δεν είναι η μόνη ζημιά.
Βλέπουμε τον τελευταίο καιρό ένα ενοχλητικό χτύπημα στην εμπιστοσύνη που συνηθίζαμε να δίνουμε τυφλά στις εταιρείες και τα μεγάλα ονόματα που είναι υπεύθυνα για την πλειονότητα της διαδικτυακής μας παρουσίας και δραστηριότητας - η Google εξακολουθεί να επιτρέπει την κακόβουλη διαφήμιση στα προωθούμενα αποτελέσματα αναζήτησης, και το YouTube δεν μπορεί να απαλλαγεί από αυτά τα αεροπειραμένα κανάλια που προωθούν την Cryptoscams, και το Facebook επιτρέπει τις πεινασμένες για δικαιώματα ψεύτικες εφαρμογές που μιμούνται τις εφαρμογές του ίδιου του Facebook!
Αυτές οι δραστηριότητες είναι, κατά πάσα πιθανότητα, εδώ για να μείνουν. Έτσι, πρέπει να είμαστε πιο προσεκτικοί ακόμη και στην καθημερινή μας περιστασιακή περιήγηση - μην κάνετε κλικ στο πρώτο αποτέλεσμα αναζήτησης και βεβαιωθείτε πάντα ότι δεν θα κάνετε κλικ σε χορηγούμενους συνδέσμους και αναρτήσεις, εκτός αν είστε αρκετά σίγουροι ποιος κρύβεται πίσω από αυτές!
Αυτό το άρθρο δημοσιεύθηκε σε συνεργασία με την Guardio Labs
Πηγή Εικόνας: Guardioi, Guardioi, Guardioi, Guardioi, Guardioi: Unsplash.com
