Chrome için meşru chatgpt uzantısının truva atlı bir versiyonu, Chrome web mağazasında popülerlik kazanıyor ve Facebook hesaplarını çalırken 9.000'den fazla indirme biriktiriyor.
Uzantı, arama sonuçlarında chatgpt entegrasyonu sunan "Google için ChatGpt" adlı Chrome için meşru popüler eklentinin bir kopyasıdır. Ancak, bu kötü niyetli sürüm, Facebook oturum çerezlerini çalmaya çalışan ek kod içerir.
Uzantının yayıncısı, 14 Şubat 2023'te Chrome Web Mağazasına yükledi, ancak sadece 14 Mart 2023'te Google Search reklamlarını kullanarak tanıtmaya başladı. O zamandan beri, günde ortalama bin kurulum yaptı.
Bunu keşfeden araştırmacı, Guardio Labs Nati Tal, uzantının bu ayın başlarında kullanılan aynı altyapı ile Google'ın Chrome web mağazasından kaldırılmadan önce 4.000 kurulum toplayan benzer bir Chrome eklentisi ile iletişim kurduğunu bildirdi.
Bu nedenle, bu yeni varyant, operatörlerin ilk uzantının rapor edileceği ve kaldırılacağı için Chrome web mağazasında yedek olarak tuttuğu aynı kampanyanın bir parçası olarak kabul edilir.
Kötü niyetli uzantı, Google arama sonuçlarındaki reklamlar aracılığıyla tanıtılmaktadır; bu, "CHAT GPT 4." ni ararken belirgin bir şekilde öne sürülmüştür.
Sponsorlu arama sonuçlarını tıklamak, kullanıcıları sahte bir "Google için Chatgpt" açılış sayfasına ve oradan, Chrome'un resmi eklenti mağazasındaki uzantının sayfasına götürür.
Mağdur uzantıyı kurduktan sonra, meşru uzantının kodu hala mevcut olduğu için vaat edilen işlevselliği (arama sonuçlarında chatgpt entegrasyonu) alırlar. Ancak, kötü niyetli eklenti, Facebook hesapları için oturum çerezleri çalmaya da çalışır.
Uzantının kurulumu üzerine, kötü amaçlı kod, Facebook oturum çerezlerini çalmak için On -STALLED işlev işlevini kullanır.
Bu çalıntı çerezler, tehdit aktörlerinin kullanıcı olarak bir Facebook hesabına giriş yapmalarına ve herhangi bir iş reklamı özellikleri de dahil olmak üzere profillerine tam erişim kazanmasına izin verir.
Kötü amaçlı yazılım, Facebook ile ilgili çerezlerin bir listesini almak için Chrome Extension API'sını kötüye kullanır ve AES anahtarı kullanarak bunları şifreler. Daha sonra, saldırganın sunucusuna bir GET isteği yoluyla çalınan verileri püskürtür.
Guardio Labs raporunda, "Çerezler listesi AES ile şifrelenmiştir ve X-ön-anahtar HTTP başlık değerine bağlıdır," diye açıklıyor Guardio Labs raporu.
"Bu teknik burada, paket yükünde uyarılar yaratan herhangi bir DPI (Derin Paket İncelemesi) mekanizmaları olmadan çerezleri denemek ve gizlice denemek için kullanılmaktadır."
Tehdit aktörleri daha sonra kurbanlarının kampanyalar için facebook oturumlarını ele geçirmek veya IŞİD propagandası gibi yasaklanmış materyalleri tanıtmak için çalınan çerezlerin şifresini çözüyor.
Kötü amaçlı yazılım, kurbanların Facebook hesapları üzerinde kontrolü yeniden kazanmasını önlemek için ihlal edilen hesaplardaki giriş ayrıntılarını otomatik olarak değiştirir. Ayrıca profil adını ve resmi "Lilly Collins" adlı sahte bir kişiye dönüştürür.
Şu anda, kötü amaçlı Google Chrome uzantısı hala Google Chrome Web mağazasında mevcuttur.
Ancak, güvenlik araştırmacısı kötü niyetli uzantıyı Chrome Web Store ekibine bildirdi ve bu da yakında kaldırılacak.
Ne yazık ki, önceki tarihe dayanarak, tehdit aktörlerinin muhtemelen bir sonraki enfeksiyon dalgasını kolaylaştırabilecek başka bir "park edilmiş" uzantı aracılığıyla bir 'C' planı var.
BleepingComputer, uzantı hakkında daha fazla soru ile Google ile temasa geçti, ancak bir yanıt hemen mevcut değildi.
GÜNCELLEME 3/23 - Bir Google sözcüsü, kötü amaçlı krom uzantısı ile ilgili olarak aşağıdaki yorumu BleepingComputer'a gönderdi:
Platformumuzda kimlik avı gibi kötü niyetli teknikler kullanan reklamlara izin vermiyoruz.
Söz konusu reklamları inceledik ve uygun önlemleri aldık.
Uzatma artık Chrome web mağazasından mevcut değil.
Bilgisayar korsanları, Windows, Android kötü amaçlı yazılımları itmek için sahte chatgpt uygulamalarını kullanır
Yeni S1Deload Stealer kötü amaçlı yazılım kaçırmaları YouTube, Facebook Hesapları
Blackguard Stealer şimdi 57 kripto cüzdanı, uzantıları hedefliyor
Python Info-Renting Mal-Yazılım, tespitten kaçınmak için Unicode kullanır
Gmail e -postalarını çalmak için krom uzantıları kullanan Kuzey Koreli hackerlar
Kaynak: Bleeping Computer