Extension de navigateur "Accès rapide à ChatGPT"

L'analyse a révélé qu'une fausse extension de navigateur Chrome appelée "Accès rapide à ChatGPT" a été utilisée par un acteur malveillant pour compromettre des milliers de comptes Facebook, y compris des comptes professionnels. L'extension était auparavant disponible sur le Chrome Store officiel de Google. Cette extension prétendait offrir aux utilisateurs un moyen pratique d'interagir avec le populaire chatbot AI ChatGPT. Cependant, en réalité, il a été conçu pour collecter un large éventail d'informations à partir du navigateur de la victime et voler les cookies de toutes les sessions actives autorisées. L'extension a également installé une porte dérobée qui a donné à l'auteur du logiciel malveillant des autorisations de super-administrateur sur le compte Facebook de l'utilisateur. Des détails sur l'extension malveillante ont été publiés dans un rapport des chercheurs de Guardio Labs.

L'utilisation de l'extension de navigateur « Accès rapide à ChatGPT » n'est qu'un exemple de la façon dont les acteurs de la menace ont tenté d'exploiter l'intérêt généralisé pour ChatGPT pour distribuer des logiciels malveillants et infiltrer les systèmes. L'acteur menaçant à l'origine de la fausse extension a utilisé des tactiques sophistiquées pour inciter les utilisateurs à installer l'extension, ce qui souligne la nécessité pour les utilisateurs d'être vigilants lors du téléchargement d'extensions de navigateur et d'autres logiciels sur Internet.

L'extension de navigateur "Accès rapide à ChatGPT" collecte des informations Facebook sensibles

L'extension de navigateur malveillante "Accès rapide à ChatGPT" permettait d'accéder au chatbot ChatGPT en se connectant à son API, comme promis. Cependant, l'extension a également récolté une liste complète de cookies stockés dans le navigateur de l'utilisateur, y compris des jetons de sécurité et de session pour divers services tels que Google, Twitter et YouTube, et tout autre service actif.

Dans les cas où l'utilisateur avait une session authentifiée active sur Facebook, l'extension accédait à l'API Graph pour les développeurs, ce qui lui permettait de récolter toutes les données associées au compte Facebook de l'utilisateur. Encore plus alarmant, un composant du code d'extension a permis à l'auteur de la menace de détourner le compte Facebook de l'utilisateur en enregistrant une application malveillante sur le compte de la victime et en demandant à Facebook de l'approuver.

En enregistrant une application sur le compte de l'utilisateur, l'auteur de la menace a obtenu le mode administrateur complet sur le compte Facebook de la victime sans avoir à récolter des mots de passe ou à essayer de contourner l'authentification à deux facteurs de Facebook. Si l'extension rencontrait un compte Facebook professionnel, elle collecterait toutes les informations relatives à ce compte, y compris les promotions actuellement actives, le solde créditeur, la devise, le seuil de facturation minimum et si le compte était associé à une facilité de crédit. L'extension examinerait ensuite toutes les données récoltées, les préparerait et les renverrait au serveur Command-and-Control (C2, C&C) à l'aide d'appels API basés sur la pertinence et le type de données.

Ces résultats soulignent la nécessité pour les internautes d'être prudents lors de l'installation d'extensions de navigateur, en particulier celles qui promettent un accès rapide aux services populaires. Ils doivent également revoir régulièrement leur liste d'extensions installées et supprimer celles qui ne sont plus nécessaires ou qui ont un comportement douteux.

Les acteurs de la menace peuvent chercher à vendre les informations collectées

Selon les chercheurs, l'acteur de la menace à l'origine de l'extension de navigateur "Accès rapide à ChatGPT" est susceptible de vendre les informations qu'il a récoltées lors de la campagne au plus offrant. Alternativement, les cybercriminels peuvent tenter d'utiliser les comptes Facebook Business piratés pour créer une armée de robots, qu'ils pourraient ensuite utiliser pour publier des publicités malveillantes en utilisant les comptes des victimes.

Le malware est équipé de mécanismes permettant de contourner les mesures de sécurité de Facebook lors du traitement des demandes d'accès à ses API. Par exemple, avant d'accorder l'accès via son API Meta Graph, Facebook vérifie d'abord que la demande provient d'un utilisateur authentifié et d'une origine de confiance. Pour contourner cette précaution, l'auteur de la menace a inclus du code dans l'extension de navigateur malveillante qui garantissait que toutes les demandes adressées au site Web de Facebook à partir du navigateur de la victime avaient leurs en-têtes modifiés, de sorte qu'elles semblaient également provenir du navigateur de la victime.

Cela donne à l'extension la possibilité de parcourir librement n'importe quelle page Facebook, y compris en effectuant des appels et des actions API, en utilisant le navigateur infecté et sans laisser de trace. La facilité avec laquelle l'extension pourrait contourner les mesures de sécurité de Facebook souligne la nécessité pour les plateformes en ligne d'être vigilantes dans la détection et la prévention de telles activités malveillantes. L'extension de navigateur malveillante "Accès rapide à ChatGPT" a depuis été supprimée par Google de la boutique Chrome.