Uma versão “trojanizada” da extensão ChatGPT legítima para o Chrome está ganhando popularidade na Chrome Web Store, acumulando mais de 9 mil downloads enquanto rouba contas do Facebook. A extensão é uma cópia do complemento popular legítimo para o Chrome chamado ChatGPT for Google, que oferece integração do chatbot de inteligência artificial aos resultados de buscas. No entanto, a versão maliciosa inclui código adicional que tenta roubar cookies de sessão do Facebook.
O editor da extensão a carregou na Chrome Web Store em 14 de fevereiro, mas só começou a promovê-la usando anúncios da busca do Google na terça-feira passada, 14. Desde então, a versão maliciosa teve uma média de mil instalações por dia.
O pesquisador que a descobriu, Nati Tal, do Guardio Labs, relata que a extensão está se comunicando com a mesma infraestrutura usada no início deste mês por um complemento semelhante do Chrome que acumulou 4 mil instalações antes de o Google removê-lo da Chrome Web Store.
Portanto, essa nova variante é considerada parte da mesma campanha, que as operadoras mantiveram como backup na Chrome Web Store para quando a primeira extensão fosse denunciada e removida.
Segmentação de contas do Facebook
A extensão maliciosa é promovida por meio de anúncios nos resultados de buscas do Google, que são destacados ao pesquisar “Chat GPT 4”. Clicar nos resultados de buscas patrocinados leva os usuários a uma página de destino falsa ChatGPT for Google e, a partir daí, à página da extensão na loja oficial de complementos do Chrome.
Depois que a vítima instala a extensão, ela obtém a funcionalidade prometida —integração do ChatGPT nos resultados de buscas —, pois o código da extensão legítima ainda está presente. No entanto, o complemento malicioso também tenta roubar cookies de sessão para contas do Facebook. O código malicioso usa a função do manipulador OnInstalled para roubar cookies de sessão do Facebook.
Esses cookies roubados permitem que invasores façam login em uma conta do Facebook como usuário e obtenham acesso total aos seus perfis, incluindo quaisquer recursos de publicidade comercial.
Veja isso
Ciberespiões usam extensão do Chrome para roubar e-mails
Google corrige quatro bugs de dia zero no navegador Chrome
O malware explora a Chrome Extension API para adquirir uma lista de cookies relacionados ao Facebook e os criptografa usando uma chave AES (advanced encryption standard). Em seguida, ele exfiltra os dados roubados por meio de uma solicitação GET ao servidor do invasor.
“A lista de cookies é criptografada com AES e anexada ao valor do cabeçalho HTTP X-Cached-Key”, explica o relatório do Guardio Labs. “Esta técnica é usada para tentar esconder os cookies sem nenhum mecanismo de DPI [deep packet inspection] que gere alertas na carga útil do pacote.”
Os operadores da ameaça então descriptografam os cookies roubados para sequestrar as sessões do Facebook de suas vítimas para campanhas de malvertising ou para promover material proibido como propaganda do ISIS (Estado Islâmico).
O malware altera automaticamente os detalhes de login nas contas violadas para impedir que as vítimas recuperem o controle sobre suas contas do Facebook. Ele também muda o nome e a foto do perfil para uma pessoa falsa chamada “Lilly Collins”. No momento, a extensão maliciosa do Google Chrome ainda está presente na Google Chrome Web Store. Com agências de notícias e sites internacionais.