Google удалила из официального Chrome Web Store поддельное расширение для Chrome, которое маскировалось под официальный ChatGPT от OpenAI и был загружено более 9000 раз. Дело в том, что расширение похищало cookie сеансов Facebook * и использовалось для захвата чужих учетных записей.

Общая схема атаки

Вредоносное расширение было копией настоящего ChatGPT for Google и якобы предлагало интеграцию ChatGPT с результатами поиска. Расширение было загружено в Chrome Web Store 14 февраля 2023 года, но автор начал продвигать его с помощью рекламы в поиске Google только 14 марта 2023 года. С тех пор оно устанавливалось в среднем 1000 раз в день.

Фальшивка (слева) и оригинал (справа)

Малварь обнаружили специалисты из компании Guardio Labs, которые сообщают, что расширение взаимодействовало с той же инфраструктурой, которая ранее в этом месяце использовалась аналогичным расширением для Chrome, которое успело набрать более 4000 установок, прежде чем было обнаружено и удалено. Очевидно, второе расширение было частью той же кампании, и хакеры хранили его в качестве резервной копии на тот случай, если первое расширение будет удалено из официального магазина.

Когда жертва устанавливала расширение, она действительно получала обещанную функциональность (интеграцию ChatGPT с результатами поиска), так как вредонос был копией настоящего продукта OpenAI. Однако в этой версии в код добавили функциональность, которая пыталась украсть cookie сеанса Facebook*.

Такие cookie позволяли злоумышленникам войти в чужую учетную запись Facebook* под видом жертвы и получить полный доступ к профилю, который теперь можно было использовать как угодно, включая функции рекламы для бизнеса.

Исследователи рассказали, что малварь злоупотребляла Chrome Extension API, чтобы получить список файлов cookie, связанных с Facebook*, а затем шифровало их с помощью AES и отправляло украденные данные своим операторам через GET-запрос.

Отмечается, что «угнанные» таким способом аккаунты в итоге использовались для распространения вредоносной рекламы и для продвижения запрещенных материалов, включая пропаганду запрещенной в РФ организации ИГИЛ.

При этом злоумышленники автоматически изменяли учетные данные для взломанных профилей, чтобы усложнить жертвам процесс возвращения контроля над аккаунтом. Также имя профиля и изображение менялись на фальшивую личность некой «Lilly Collins».

В настоящее время расширение уже удалено из Chrome Web Store, но исследователи отмечают, что на такой случай у злоумышленников «в резерве» могут хранится другие аналогичные подделки.

* Принадлежит компании Meta, чья деятельность признана экстремисткой и запрещена в России.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии