یک عامل تهدید ممکن است هزاران حساب فیس بوک – از جمله حساب های تجاری – را از طریق یک افزونه جعلی جعلی مرورگر کروم ChatGPT که تا اوایل این هفته در فروشگاه رسمی کروم گوگل در دسترس بود، به خطر انداخته باشد.
بر اساس تجزیه و تحلیل این هفته از Guardio، پسوند مخرب “دسترسی سریع به Chat GPT” به کاربران قول یک راه سریع برای تعامل با چت ربات بسیار محبوب هوش مصنوعی را داد. در واقع، همچنین بهطور مخفیانه طیف وسیعی از اطلاعات را از مرورگر جمعآوری میکند، کوکیهای تمام جلسات فعال مجاز را به سرقت میبرد، و یک درب پشتی نصب میکند که به نویسنده بدافزار مجوزهای فوقالعاده ادمین را برای حساب فیسبوک کاربر میدهد.
دسترسی سریع به برنامه افزودنی مرورگر ChatGPT تنها یک نمونه از راههایی است که عوامل تهدید تلاش کردهاند از منافع عمومی عظیم ChatGPT برای توزیع بدافزارها و نفوذ به سیستمها استفاده کنند. یک مثال، دشمنی است که یک صفحه فرود جعلی ChatGPT راهاندازی کرده است، جایی که کاربران فریب خورده و «ثبتنام» میکنند، تنها یک تروجان به نام Fobo را دانلود میکنند. برخی دیگر از افزایش شدید ایمیلهای فیشینگ با موضوع ChatGPT در ماههای اخیر و استفاده روزافزون از برنامههای جعلی ChatGPT برای گسترش بدافزارهای ویندوز و اندروید خبر دادهاند.
هدف قرار دادن حساب های تجاری فیس بوک برای “ارتش ربات”
تجزیه و تحلیل Guardio نشان داد که افزونه مرورگر مخرب در واقع با دسترسی سریعی که به ChatGPT وعده داده بود، به سادگی با اتصال به API چت بات ارائه میشود. اما، علاوه بر این، برنامه افزودنی همچنین فهرست کاملی از تمام کوکیهای ذخیره شده در مرورگر کاربر، از جمله نشانههای امنیتی و جلسه در گوگل، توییتر، و یوتیوب و هر سرویس فعال دیگر را جمعآوری کرد.
در مواردی که کاربر ممکن است یک جلسه فعال و تأیید شده در فیس بوک داشته باشد، برنامه افزودنی به API Graph Meta برای توسعه دهندگان دسترسی پیدا می کند. دسترسی API به برنامه افزودنی این امکان را میدهد تا تمام دادههای مرتبط با حساب کاربری فیسبوک کاربر را جمعآوری کند، و نگرانکنندهتر، اقدامات مختلفی را از طرف کاربر انجام دهد.
بدتر از آن، یکی از مؤلفههای کد برنامه افزودنی امکان ربودن حساب کاربری فیسبوک کاربر را با ثبت یک برنامه سرکش در حساب کاربر و گرفتن تأیید فیسبوک فراهم میکرد.
Guardio توضیح داد: «یک برنامه تحت اکوسیستم فیس بوک معمولاً یک سرویس SaaS است که برای استفاده از API ویژه آن تأیید شده است. فروشنده امنیتی نوشت، بنابراین، با ثبت یک برنامه در حساب کاربر، عامل تهدید بدون نیاز به جمع آوری رمزهای عبور یا تلاش برای دور زدن احراز هویت دو مرحله ای فیس بوک، حالت مدیریت کامل را در حساب فیس بوک قربانی به دست آورد.
اگر برنامه افزودنی با یک حساب فیسبوک تجاری مواجه شود، به سرعت تمام اطلاعات مربوط به آن حساب، از جمله تبلیغات فعال فعلی، موجودی اعتبار، ارز، حداقل آستانه صورتحساب، و اینکه آیا حساب ممکن است دارای تسهیلات اعتباری مرتبط با آن باشد را جمعآوری میکند. بعداً، برنامه افزودنی تمام دادههای جمعآوریشده را بررسی میکند، آنها را آماده میکند و با استفاده از فراخوانهای API زیر به سرور C2 برمیگرداند – هر کدام بر اساس ارتباط و نوع داده.
یک مجرم سایبری با انگیزه مالی
گواردیو ارزیابی کرد که عامل تهدید احتمالاً اطلاعاتی را که از کمپین جمع آوری کرده است به بالاترین قیمت پیشنهادی می فروشد. این شرکت همچنین این پتانسیل را برای مهاجم پیشبینی میکند که ارتش رباتهایی از حسابهای تجاری فیسبوک ربوده شده ایجاد کند، که میتواند از آن برای ارسال تبلیغات مخرب با استفاده از پول حسابهای قربانیان استفاده کند.
گواردیو این بدافزار را دارای مکانیسمهایی برای دور زدن اقدامات امنیتی فیسبوک هنگام رسیدگی به درخواستهای دسترسی به APIهایش توصیف کرد. بهعنوان مثال، قبل از اینکه فیسبوک از طریق Meta Graph API خود اجازه دسترسی بدهد، ابتدا تأیید میکند که درخواست از یک کاربر تأیید شده و همچنین از مبدأ قابل اعتماد است. برای دور زدن اقدامات احتیاطی، عامل تهدید کدی را در افزونه مرورگر مخرب گنجانده بود که تضمین میکرد تمام درخواستهای وبسایت فیسبوک از مرورگر قربانی تغییر کرده و به نظر میرسد که از آنجا نیز سرچشمه میگیرند.
“محققان Guardio در گزارشی درباره این تهدید نوشتند که این افزونه به برنامه افزودنی این امکان را میدهد تا آزادانه هر صفحه فیسبوک (از جمله برقراری تماسها و اقدامات API) را با استفاده از مرورگر آلوده شما و بدون هیچ اثری مرور کند.
