یک نسخه تروجانیزه شده از افزونه قانونی ChatGPT برای کروم در حال محبوبیت در فروشگاه وب کروم است و بیش از 9000 بار دانلود می کند و در عین حال حساب های فیس بوک را می دزدد.
این برنامه افزودنی یک کپی از افزونه مشروع محبوب کروم به نام “ChatGPT for Google” است که یکپارچه سازی ChatGPT را در نتایج جستجو ارائه می دهد. با این حال، این نسخه مخرب شامل کدهای اضافی است که سعی در سرقت کوکی های جلسه فیس بوک دارد.
ناشر برنامه افزودنی آن را در 14 فوریه 2023 در فروشگاه وب کروم آپلود کرد، اما تبلیغ آن را با استفاده از تبلیغات جستجوی Google در 14 مارس 2023 آغاز کرد. از آن زمان، به طور متوسط هزار نصب در روز داشته است.
محققی که آن را کشف کرده است، ناتی تال از آزمایشگاههای Guardio، گزارش میدهد که این افزونه با همان زیرساختی که در اوایل ماه جاری توسط یک افزونه مشابه کروم استفاده شده بود، ارتباط برقرار میکند که قبل از حذف گوگل از فروشگاه وب کروم، 4000 نصب را جمع آوری کرد.
از این رو، این نوع جدید بخشی از همان کمپین در نظر گرفته میشود، که اپراتورها آن را به عنوان پشتیبان در فروشگاه وب کروم برای زمانی که اولین برنامه افزودنی گزارش و حذف میشود، نگهداری میکنند.
هدف قرار دادن اکانت های فیسبوک
این برنامه افزودنی مخرب از طریق تبلیغات در نتایج جستجوی Google تبلیغ می شود، که به طور برجسته هنگام جستجوی “Chat GPT 4” نمایش داده می شوند.
با کلیک بر روی نتایج جستجوی حمایتشده، کاربران به صفحه فرود جعلی «ChatGPT برای Google» و از آنجا به صفحه افزونه در فروشگاه رسمی افزونههای Chrome میروند.
پس از اینکه قربانی برنامه افزودنی را نصب کرد، عملکرد وعده داده شده را دریافت می کند (ادغام ChatGPT در نتایج جستجو) زیرا کد برنامه افزودنی قانونی هنوز وجود دارد. با این حال، افزونه مخرب همچنین سعی می کند کوکی های جلسه را برای حساب های فیس بوک سرقت کند.
پس از نصب برنامه افزودنی، کدهای مخرب از عملکرد OnInstalled handler برای سرقت کوکی های جلسه فیس بوک استفاده می کند.
این کوکیهای دزدیده شده به عوامل تهدید این امکان را میدهند که به عنوان کاربر وارد حساب فیسبوک شوند و به نمایههای خود، از جمله هرگونه ویژگی تبلیغات تجاری، دسترسی کامل داشته باشند.
این بدافزار از Chrome Extension API برای به دست آوردن فهرستی از کوکیهای مرتبط با فیسبوک سوء استفاده میکند و با استفاده از کلید AES آنها را رمزگذاری میکند. سپس داده های سرقت شده را از طریق یک درخواست GET به سرور مهاجم استخراج می کند.
گزارش Guardio Labs توضیح می دهد: “لیست کوکی ها با AES رمزگذاری شده و به مقدار هدر X-Cached-Key HTTP متصل شده است.”
“این تکنیک در اینجا استفاده میشود تا کوکیها را بدون هیچ مکانیزم DPI (بازرسی عمیق بستهها) که هشدارها را روی محموله بسته افزایش میدهد، مخفیانه خارج کنید.”
سپس بازیگران تهدید، کوکیهای دزدیده شده را رمزگشایی میکنند تا جلسات فیسبوک قربانیان خود را برای کمپینهای تبلیغات نادرست ربوده یا برای تبلیغ مطالب ممنوعه مانند تبلیغات داعش.
این بدافزار به طور خودکار جزئیات ورود به حسابهای نقض شده را تغییر میدهد تا از بازپسگیری کنترل حسابهای فیسبوک توسط قربانیان جلوگیری کند. همچنین نام و تصویر نمایه را به شخصیتی جعلی به نام «لیلی کالینز» تغییر میدهد.
در حال حاضر، افزونه مخرب Google Chrome همچنان در فروشگاه وب Google Chrome وجود دارد.
با این حال، محقق امنیتی این افزونه مخرب را به تیم فروشگاه وب کروم گزارش داد که احتمالاً به زودی حذف خواهد شد.
متأسفانه، بر اساس تاریخچه قبلی، عوامل تهدید احتمالاً یک طرح “C” از طریق یک پسوند “پارک شده” دیگر دارند که می تواند موج عفونت بعدی را تسهیل کند.
BleepingComputer با Google تماس گرفت و سؤالات بیشتری در مورد برنامه افزودنی داشت، اما پاسخی بلافاصله در دسترس نبود.
