As extensões dos navegadores geralmente são seguras, mas os agentes de ameaças sempre arrumam uma maneira de inserir códigos maliciosos em algumas delas. Agora, por exemplo, uma versão maliciosa da extensão ChatGPT legítima para Chrome, projetada para roubar contas do Facebook, tem milhares de downloads.
Extensão maliciosa do ChatGPT para Chrome
A equipe de segurança de Guardio descobriu uma nova variante de uma extensão maliciosa do ChatGPT para Chrome que já era baixada por milhares de pessoas por dia. A versão empregada em uma campanha recente é baseada em um projeto legítimo de código aberto, os agentes de ameaças adicionaram código malicioso para roubar contas do Facebook.
A extensão legítima chama-se “ChatGPT for Google” e permite a integração do ChatGPT nos resultados de pesquisa. Essa nova extensão maliciosa do Chrome é distribuída desde 14 de março de 2023, por meio de resultados de pesquisa patrocinados do Google e carregada na Chrome Store oficial. Os especialistas notaram que ele foi carregado pela primeira vez na Chrome Web Store em 14 de fevereiro de 2023.
Segundo os pesquisadores, essa extensão maliciosa do ChatGPT é capaz de roubar cookies de sessão do Facebook e comprometer contas em massa.
Extensão falsa
Imagem: Bleeping Computer
A nova variante da extensão FakeGPT Chrome, intitulada “Chat GPT For Google”, está mais uma vez visando suas contas do Facebook sob a cobertura de uma integração ChatGPT para seu navegador.
Desta vez, os agentes de ameaças não tiveram que trabalhar duro na aparência dessa extensão maliciosa com tema ChatGPT – eles apenas bifurcaram e editaram um conhecido projeto de código aberto que faz exatamente isso. De zero a “herói” em provavelmente menos de 2 minutos.
Guardio Labs
Os internautas que procuram por “Chat GPT 4” porque interessados ??em testar o novo algoritmo da versão mais recente do popular chatbot, acabam clicando em um resultado de pesquisa patrocinado. O link redireciona as vítimas para uma página de destino que oferece a extensão ChatGPT da Chrome Store oficial.
A extensão dará aos usuários acesso ao ChatGPT a partir dos resultados da pesquisa, mas também comprometerá sua conta do Facebook. Depois que a vítima instala a extensão, o código malicioso usa a função do manipulador OnInstalled para roubar cookies de sessão do Facebook. Em seguida, os invasores usam cookies roubados para fazer login na conta do Facebook da vítima e apoderar-se dela.
O código malicioso usa a Chrome Extension API para coletar uma lista de cookies usados ??pelo Facebook e os criptografa com o AES usando a chave “chatgpt4google”. Os cookies coletados são enviados ao servidor dos invasores por meio de uma solicitação GET.
Os pesquisadores do Guardio relataram suas descobertas ao Google, que rapidamente removeu a extensão da loja do Chrome. No momento da remoção, a extensão maliciosa foi instalada por mais de 9.000 usuários.