Account Facebook dirottati dalla nuova estensione malevola ChatGPT per Chrome

Una versione trojanizzata della legittima estensione ChatGPT per Chrome sta guadagnando popolarità sul Chrome Web Store, accumulando oltre 9.000 download mentre ruba account Facebook.

L'estensione è una copia del popolare componente aggiuntivo legittimo per Chrome denominato "ChatGPT per Google" che offre l'integrazione di ChatGPT nei risultati di ricerca. Tuttavia, questa versione dannosa include codice aggiuntivo che tenta di rubare i cookie di sessione di Facebook.

L'editore dell'estensione l'ha caricata sul Chrome Web Store il 14 febbraio 2023, ma ha iniziato a promuoverla utilizzando gli annunci della Ricerca Google solo il 14 marzo 2023. Da allora, ha avuto una media di mille installazioni al giorno.

Pertanto, questa nuova variante è considerata parte della stessa campagna, che gli operatori conservavano come backup sul Chrome Web Store per quando la prima estensione sarebbe stata segnalata e rimossa.

Targeting degli account Facebook

L'estensione dannosa viene promossa tramite pubblicità nei risultati di ricerca di Google, che sono ben visibili durante la ricerca di "Chat GPT 4".

Facendo clic sui risultati di ricerca sponsorizzati, gli utenti vengono indirizzati a una falsa pagina di destinazione "ChatGPT per Google" e, da lì, alla pagina dell'estensione nello store ufficiale dei componenti aggiuntivi di Chrome.

Dopo che la vittima ha installato l'estensione, ottiene la funzionalità promessa (integrazione di ChatGPT sui risultati di ricerca) poiché il codice dell'estensione legittima è ancora presente. Tuttavia, il componente aggiuntivo dannoso tenta anche di rubare i cookie di sessione per gli account Facebook.

Al momento dell'installazione dell'estensione,

Questi cookie rubati consentono agli autori delle minacce di accedere a un account Facebook come utente e ottenere pieno accesso ai propri profili, comprese eventuali funzionalità pubblicitarie aziendali.

Il malware abusa dell'API di estensione di Chrome per acquisire un elenco di cookie relativi a Facebook e li crittografa utilizzando una chiave AES. Quindi esfiltra i dati rubati tramite una richiesta GET al server dell'attaccante.

Recupero dell'elenco dei cookie da Google Chrome

Recupero dell'elenco dei cookie da Google Chrome (Guardio Labs)

"L'elenco dei cookie è crittografato con AES e allegato al valore dell'intestazione HTTP X-Cached-Key", spiega il rapporto di Guardio Labs.

"Questa tecnica viene utilizzata qui per cercare di far uscire di nascosto i cookie senza che alcun meccanismo DPI (Deep Packet Inspection) generi avvisi sul payload del pacchetto."

Gli autori delle minacce quindi decrittano i cookie rubati per dirottare le sessioni Facebook delle loro vittime per campagne di malvertising o per promuovere materiale vietato come la propaganda dell'ISIS.

Il malware modifica automaticamente i dettagli di accesso sugli account violati per impedire alle vittime di riprendere il controllo sui propri account Facebook. Cambia anche il nome e l'immagine del profilo in un personaggio falso chiamato "Lilly Collins".

Tuttavia, il ricercatore di sicurezza ha segnalato l'estensione dannosa al team del Chrome Web Store, che probabilmente verrà presto rimossa.

Sfortunatamente, sulla base della storia precedente, gli attori della minaccia probabilmente hanno un piano "C" tramite un'altra estensione "parcheggiata" che potrebbe facilitare la prossima ondata di infezione.

BleepingComputer ha contattato Google con ulteriori domande sull'estensione, ma non è stata immediatamente disponibile una risposta.