Google удалила из официального Chrome Web Store поддельное расширение для Chrome, которое маскировалось под официальный ChatGPT от OpenAI и был загружено более 9000 раз. Дело в том, что расширение похищало cookie сеансов Facebook * и использовалось для захвата чужих учетных записей.
Вредоносное расширение было копией настоящего ChatGPT for Google и якобы предлагало интеграцию ChatGPT с результатами поиска. Расширение было загружено в Chrome Web Store 14 февраля 2023 года, но автор начал продвигать его с помощью рекламы в поиске Google только 14 марта 2023 года. С тех пор оно устанавливалось в среднем 1000 раз в день.
Малварь обнаружили специалисты из компании Guardio Labs, которые сообщают, что расширение взаимодействовало с той же инфраструктурой, которая ранее в этом месяце использовалась аналогичным расширением для Chrome, которое успело набрать более 4000 установок, прежде чем было обнаружено и удалено. Очевидно, второе расширение было частью той же кампании, и хакеры хранили его в качестве резервной копии на тот случай, если первое расширение будет удалено из официального магазина.
Когда жертва устанавливала расширение, она действительно получала обещанную функциональность (интеграцию ChatGPT с результатами поиска), так как вредонос был копией настоящего продукта OpenAI. Однако в этой версии в код добавили функциональность, которая пыталась украсть cookie сеанса Facebook*.
Такие cookie позволяли злоумышленникам войти в чужую учетную запись Facebook* под видом жертвы и получить полный доступ к профилю, который теперь можно было использовать как угодно, включая функции рекламы для бизнеса.
Исследователи рассказали, что малварь злоупотребляла Chrome Extension API, чтобы получить список файлов cookie, связанных с Facebook*, а затем шифровало их с помощью AES и отправляло украденные данные своим операторам через GET-запрос.
Отмечается, что «угнанные» таким способом аккаунты в итоге использовались для распространения вредоносной рекламы и для продвижения запрещенных материалов, включая пропаганду запрещенной в РФ организации ИГИЛ.
При этом злоумышленники автоматически изменяли учетные данные для взломанных профилей, чтобы усложнить жертвам процесс возвращения контроля над аккаунтом. Также имя профиля и изображение менялись на фальшивую личность некой «Lilly Collins».
В настоящее время расширение уже удалено из Chrome Web Store, но исследователи отмечают, что на такой случай у злоумышленников «в резерве» могут хранится другие аналогичные подделки.
* Принадлежит компании Meta, чья деятельность признана экстремисткой и запрещена в России.