Een valse ChatGPT-extensie in de Chrome-browser die de ChatGPT-service van OpenAI gebruikte om Facebook-sessiecookies te verzamelen en gebruikersaccounts over te nemen, is door Google verwijderd uit de officiële Web Store. Wees daarom voorzichtig als de huidige golf van interesse in AI u buitengewoon in de ban heeft. Er zijn enkele negatieve items die wachten om uw Facebook-account in gevaar te brengen in de resultaten van zoekmachines.
Voordat de “ChatGPT For Google”, de valse ChatGPT-extensie, werd verwijderd, was deze sinds 14 maart 2023 meer dan 9.000 keer geïnstalleerd. Het was een getrojaniseerde versie van een authentieke open-source browser-add-on. Op 14 februari 2023 werd het voor het eerst gepost in de Chrome Web Store.
Hoe heeft de valse ChatGPT-extensie zich verspreid?
Nati Tal, een onderzoeker bij Guardio Labs, beweert dat de valse ChatGPT-extensie zich verspreidde met behulp van misleidende gesponsorde Google-zoekresultaten die bedoeld waren om onoplettende gebruikers die op zoek waren naar “Chat GPT-4” naar valse bestemmingspagina’s te leiden die naar de valse add-on verwezen.
Van de eerste zoektocht tot infectie en compromittering verloopt de aanval als volgt:
- Google levert een gesponsorde advertentie als resultaat van uw zoekopdracht voor Chat GPT-4.
- De bestemmingswebsite beweert dat deze een Chat GPT-indeling biedt in uw zoekresultaten.
- Deze website linkt u uiteindelijk naar de officiële extensiewinkel waar u een Chrome-extensie kunt downloaden.
Aangezien de extensie zelf niet is wat het lijkt, kunt u op dit moment kwaadaardig gedrag verwachten. De meerderheid van de fraudeurs presenteert immers nep-apps, games en software, en aangezien het echt lege hulzen zijn, hebben deze programma’s vaak geen effect. De tool neemt in dit geval Chat Talk op in zoekresultaten. Dit komt door het feit dat de personen die ervoor verantwoordelijk zijn een geldig open-sourceproduct hebben gebruikt om er hun eigen versie van te maken.
Het installeren van de extensie activeert de geheime mogelijkheid om in het geheim de mogelijkheid in te schakelen om Facebook-gerelateerde cookies te oogsten en ze op een gecodeerde manier naar een externe server te exfiltreren, naast het toevoegen van de beloofde functionaliteit, dwz het vergroten van zoekmachines met ChatGPT.
Het belangrijkste doel van het spel is echter om te knoeien met Facebook-profielen. De valse ChatGPT-extensie probeert bij het opstarten enkele cookies te stelen. Een virusauteur kan proberen in te loggen op de website waarvoor hij de authenticatiecookie heeft genomen als hij erin slaagt deze tijdens een sessie uit uw browser te stelen.
Voordat de gestolen cookie(s) worden bezorgd aan de auteurserver van de extensie, wordt de extensie scant uitdrukkelijk op Facebook-cookies. De gestolen cookies worden versleuteld voordat ze worden verzonden in een poging ze heimelijk van het doelsysteem te verwijderen. Om te voorkomen dat specifieke beveiligingstechnologieën een probleem detecteren, wordt er gebruik gemaakt van encryptie.
Nadat de makers van de extensie toegang hebben gekregen tot het Facebook-account, wijzigen ze de naam, profielfoto en inloggegevens voordat ze publiceren wat nodig is om hun campagne vooruit te helpen. De onderzoekers noemen als voorbeelden ISIS-propagandabeelden en meer algemene verwijzingen naar spam en nepdiensten.
Het is nu de tweede valse ChatGPT-extensie op Chrome die als resultaat van de ontwikkeling in het wild wordt gevonden. Verzonden via gesponsorde berichten op de sociale-mediasite, diende de andere extensie ook als een Facebook-accountdief. Met dergelijk nieuws lijken de beveiligingsproblemen met ChatGPT toe te nemen: het verbod op ChatGPT Italië vestigt de aandacht op gegevensprivacy
De gegevens leveren in ieder geval verder bewijs dat cybercriminelen in staat zijn om snel hun tactieken aan te passen om te profiteren van de populariteit van ChatGPT om malware te verspreiden en gerichte aanvallen uit te voeren.
“Voor aanvallers zijn de mogelijkheden eindeloos: je profiel gebruiken als bot voor reacties, vind-ik-leuks en andere promotionele activiteiten, of pagina’s en advertentieaccounts maken met je reputatie en identiteit, terwijl je diensten promoot die zowel legitiem als waarschijnlijk meestal niet zijn.” zei Tal.
