Extensión de navegador 'Acceso rápido a ChatGPT'
El análisis ha revelado que un actor de amenazas ha utilizado una extensión falsa del navegador Chrome llamada "Acceso rápido a ChatGPT" para comprometer miles de cuentas de Facebook, incluidas las cuentas comerciales. La extensión estaba disponible anteriormente en la Chrome Store oficial de Google. Esta extensión pretendía ofrecer a los usuarios una forma conveniente de interactuar con el popular chatbot de IA ChatGPT. Sin embargo, en realidad, fue diseñado para recopilar una amplia gama de información del navegador de la víctima y robar cookies de todas las sesiones activas autorizadas. La extensión también instaló una puerta trasera que otorgaba al autor del malware permisos de superadministrador en la cuenta de Facebook del usuario. Los detalles sobre la extensión maliciosa se dieron a conocer en un informe de los investigadores de Guardio Labs.
El uso de la extensión del navegador 'Acceso rápido a ChatGPT' es solo un ejemplo de cómo los actores de amenazas han estado tratando de explotar el interés generalizado en ChatGPT para distribuir malware e infiltrarse en los sistemas. El actor de amenazas detrás de la extensión falsa usó tácticas sofisticadas para engañar a los usuarios para que instalaran la extensión, lo que resalta la necesidad de que los usuarios estén atentos al descargar extensiones de navegador y otro software de Internet.
La extensión del navegador 'Acceso rápido a ChatGPT' recopila información confidencial de Facebook
La extensión del navegador maliciosa 'Acceso rápido a ChatGPT' proporcionó acceso al chatbot ChatGPT al conectarse a su API, como se prometió. Sin embargo, la extensión también recolectó una lista completa de cookies almacenadas en el navegador del usuario, incluidos tokens de seguridad y sesión para varios servicios como Google, Twitter y YouTube, y cualquier otro servicio activo.
En los casos en que el usuario tenía una sesión autenticada activa en Facebook, la extensión accedía a Graph API para desarrolladores, lo que le permitía recopilar todos los datos asociados con la cuenta de Facebook del usuario. Aún más alarmante, un componente en el código de la extensión permitió al actor de amenazas secuestrar la cuenta de Facebook del usuario al registrar una aplicación no autorizada en la cuenta de la víctima y lograr que Facebook la aprobara.
Al registrar una aplicación en la cuenta del usuario, el actor de amenazas obtuvo el modo de administrador completo en la cuenta de Facebook de la víctima sin tener que recolectar contraseñas o intentar eludir la autenticación de dos factores de Facebook. Si la extensión encontró una cuenta comercial de Facebook, recopilaría toda la información relacionada con esa cuenta, incluidas las promociones actualmente activas, el saldo de crédito, la moneda, el umbral mínimo de facturación y si la cuenta tenía una línea de crédito asociada. Luego, la extensión examinaría todos los datos recopilados, los prepararía y los enviaría de regreso al servidor de comando y control (C2, C&C) mediante llamadas API basadas en la relevancia y el tipo de datos.
Estos hallazgos subrayan la necesidad de que los usuarios de Internet sean cautelosos al instalar extensiones de navegador, especialmente aquellas que prometen un acceso rápido a servicios populares. También deben revisar periódicamente su lista de extensiones instaladas y eliminar las que ya no sean necesarias o que tengan un comportamiento cuestionable.
Los actores de amenazas pueden tratar de vender la información recopilada
Según los investigadores, es probable que el actor de amenazas detrás de la extensión del navegador 'Acceso rápido a ChatGPT' venda la información que recopiló de la campaña al mejor postor. Alternativamente, los ciberdelincuentes pueden intentar usar las cuentas de Facebook Business secuestradas para crear un ejército de bots, que luego podrían usar para publicar anuncios maliciosos usando las cuentas de las víctimas.
El malware está equipado con mecanismos para eludir las medidas de seguridad de Facebook cuando maneja solicitudes de acceso a sus API. Por ejemplo, antes de otorgar acceso a través de su API Meta Graph, Facebook primero verifica que la solicitud sea de un usuario autenticado y un origen confiable. Para eludir esta precaución, el actor de la amenaza incluyó un código en la extensión del navegador malicioso que aseguró que todas las solicitudes al sitio web de Facebook desde el navegador de la víctima tuvieran sus encabezados modificados, por lo que parecían originarse también en el navegador de la víctima.
Esto le da a la extensión la capacidad de navegar libremente por cualquier página de Facebook, lo que incluye realizar llamadas y acciones a la API, usar el navegador infectado y sin dejar ningún rastro. La facilidad con la que la extensión podría eludir las medidas de seguridad de Facebook subraya la necesidad de que las plataformas en línea estén atentas para detectar y prevenir este tipo de actividad maliciosa. Desde entonces, Google eliminó la extensión maliciosa del navegador 'Acceso rápido a ChatGPT' de la tienda de Chrome.
