Uma versão trojanizada da extensão legítima ChatGPT para Chrome está ganhando popularidade na Chrome Web Store, acumulando mais de 9.000 downloads enquanto rouba contas do Facebook.
A extensão é uma cópia do popular add-on legítimo do Chrome chamado "ChatGPT para Google" que oferece integração do ChatGPT nos resultados da pesquisa.
No entanto, esta versão maliciosa inclui código adicional que tenta roubar cookies de sessão do Facebook.
O editor da extensão a carregou na Chrome Web Store em 14 de fevereiro de 2023, mas só começou a promovê-la usando anúncios de pesquisa do Google em 14 de março de 2023.
Desde então, teve uma média de mil instalações por dia.
O pesquisador que o descobriu, Nati Tal, da Guardio Labs, relata que a extensão está se comunicando com a mesma infraestrutura usada no início deste mês por um add-on semelhante do Chrome que acumulou 4.000 instalações antes que o Google o removesse da Chrome Web Store.
Portanto, esta nova variante é considerada parte da mesma campanha, que os operadores mantiveram como backup na Chrome Web Store para quando a primeira extensão fosse relatada e removida.
A extensão maliciosa é promovida por meio de anúncios em resultados de pesquisa do Google, que são destacados ao procurar por "Chat GPT 4".
Clicar nos resultados de pesquisa patrocinados leva os usuários a uma página de destino falsa do "ChatGPT para Google" e, de lá, para a página da extensão na loja oficial de complementos do Chrome.
Após a instalação da extensão, o usuário recebe a funcionalidade prometida (integração do ChatGPT nos resultados da pesquisa) porque o código da extensão legítima ainda está presente.
No entanto, o add-on malicioso também tenta roubar cookies de sessão para contas do Facebook.
Após a instalação da extensão, o código malicioso usa a função OnInstalled handler para roubar cookies de sessão do Facebook.
Esses cookies roubados permitem que os atores ameaçadores façam login em uma conta do Facebook como usuário e obtenham acesso total aos seus perfis, incluindo quaisquer recursos de publicidade comercial.
O malware abusa da API do Chrome Extension para adquirir uma lista de cookies relacionados ao Facebook e os criptografa usando uma chave AES.
Ele exfiltra então os dados roubados via solicitação GET para o servidor do atacante.
"A lista de cookies é criptografada com AES e anexada ao valor do cabeçalho HTTP X-Cached-Key", explica o relatório da Guardio Labs.
"Esta técnica é usada aqui para tentar passar os cookies sem quaisquer mecanismos de DPI (Deep Packet Inspection) levantando alertas sobre o payload do pacote."
Os atores de ameaças então descriptografam os cookies roubados para sequestrar as sessões do Facebook de suas vítimas para campanhas de malvertising ou para promover material proibido, como propaganda do ISIS.
O malware muda automaticamente os detalhes de login nas contas violadas para impedir que as vítimas recuperem o controle de suas contas do Facebook.
Ele também troca o nome do perfil e a imagem por uma persona falsa chamada "Lilly Collins".
Neste momento, a extensão maliciosa do Google Chrome ainda está presente na Chrome Web Store do Google.
No entanto, o pesquisador de segurança relatou a extensão maliciosa à equipe da Chrome Web Store, que provavelmente será removida em breve.
Infelizmente, com base na história anterior, os atores de ameaças provavelmente têm um plano 'C' por meio de outra extensão "estacionada" que poderia facilitar a próxima onda de infecção.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...