Dark Reading 網(wǎng)站披露， 3 月 3 日- 3 月 9 日，每天至少有 2000 人從 Google Play 應(yīng)用商店下載"快速訪問 ChatGPT“ 的 Chrome 惡意擴(kuò)展。據(jù)悉，一名威脅攻擊者可能利用該惡意擴(kuò)展泄露包括商業(yè)賬戶在內(nèi)的數(shù)千個 Facebook 賬戶。

從 Guardio 的分析結(jié)果來看，惡意 "快速訪問 Chat GPT "的擴(kuò)展程序承諾用戶可以快速與近期大火的人工智能聊天機(jī)器人 Chat GPT 進(jìn)行互動。然而事實上，該擴(kuò)展程序偷偷地從瀏覽器中竊取所有授權(quán)活動會話的 cookies，并安裝了一個后門，使惡意軟件運營者能夠輕松獲得用戶 Facebook 賬戶的超級管理員權(quán)限。

值得注意的是，"快速訪問 Chat GPT "擴(kuò)展程序僅僅是威脅攻擊者利用 ChatGPT 大火來分發(fā)惡意軟件和滲透系統(tǒng)的眾多方式之一。

近幾個月，隨著 ChatGPT 持續(xù)火爆，以其主題的釣魚電子郵件急劇增加，越來越多的攻擊者使用假冒的 ChatGPT 應(yīng)用程序傳播 Windows 和 Android 惡意軟件。

以 Facebook 商業(yè)賬戶為目標(biāo)的 ”僵尸軍團(tuán)“

"快速訪問 Chat GPT "的擴(kuò)展程序?qū)嶋H上是通過連接聊天機(jī)器人的 API 實現(xiàn)了對 ChatGPT 的快速訪問，但在訪問過程中，該擴(kuò)展還收集了用戶瀏覽器中存儲的包括谷歌、Twitter 和 YouTube 以及任何其它活動在內(nèi)的所有 cookie 列表。

如果某個用戶在 Facebook 上有一個活動、經(jīng)過驗證的會話，則惡意擴(kuò)展插件為開發(fā)人員訪問 Meta 的 Graph API。API 訪問使擴(kuò)展能夠獲取與用戶 Facebook 帳戶相關(guān)的所有數(shù)據(jù)，甚至可以代表用戶采取各種行動。

更不幸的是，惡意擴(kuò)展代碼中的一個組件允許劫持用戶的 Facebook 帳戶，其方法是在用戶帳戶上注冊一個惡意應(yīng)用程序，并獲得 Facebook 的批準(zhǔn)。對此 Guardio 表示，F(xiàn)acebook 生態(tài)系統(tǒng)下的應(yīng)用程序通常是一個 SaaS 服務(wù)，它被批準(zhǔn)使用其特殊的 API。因此，通過在用戶帳戶中注冊應(yīng)用程序，威脅攻擊者可以在受害者的 Facebook 帳戶上獲得完全管理模式，而無需獲取密碼或嘗試?yán)@過 Facebook 的雙重身份驗證。

如果惡意擴(kuò)展遇到了一個 商業(yè) Facebook 帳戶，它會快速獲取與該帳戶相關(guān)的所有信息，包括當(dāng)前活動的促銷活動、信用余額、貨幣、最低計費閾值等。

一個有經(jīng)濟(jì)動機(jī)的網(wǎng)絡(luò)罪犯

在 Facebook 通過其 Meta Graph API 授予訪問權(quán)之前，首先必須確認(rèn)該請求是來自一個經(jīng)過認(rèn)證的可信用戶，為了規(guī)避這一預(yù)防措施，威脅者在惡意的瀏覽器擴(kuò)展中加入了代碼，確保從受害者的瀏覽器向Facebook 網(wǎng)站發(fā)出的所有請求都被修改了標(biāo)題，以便它們看起來也是可信的，這使得該擴(kuò)展能夠使用受感染的瀏覽器自由地瀏覽任何 Facebook 頁面（包括進(jìn)行 API 調(diào)用和操作），而不留下任何痕跡。

最后，Guardio 評估后表示，威脅行為者可能會將其從活動中收獲的信息賣給出價最高的人，該公司還預(yù)計攻擊者有可能創(chuàng)建一個被劫持的 Facebook商業(yè)賬戶的機(jī)器人大軍，利用受害者賬戶的錢來發(fā)布惡意廣告。

參考文章：

https://www.darkreading.com/application-security/chatgpt-browser-extension-hijacks-facebook-business-accounts