Nova Extensão do ChatGPT no Google Chrome utilizada para roubar contas de valor elevado (High-Value Targets)

O ChatGPT tem sido um grande alvo de atenção, não só devido a este ser um novo software com uma taxa de crescimento sem precedentes (tendo chegado aos 100 milhões de utilizadores em apenas 2 meses após o seu lançamento), mas também devido à crescente preocupação com a sua segurança e capacidade de manipulação.
Estas questões de segurança variam desde violação de dados (data breaches) até à possibilidade de escrever código de maneira a ajudar um utilizador mal-intencionado.

Extensão Falsa ChatGPT

A extensão falsa do ChatGPT descoberta no dia 3 de Março de 2023 por uma equipa de investigadores é a mais recente preocupação de segurança, afetando milhares de utilizadores por dia.

Esta extensão maliciosa do browser, conhecida como “Quick access to ChatGPT” tinha como alvo contas comerciais do Facebook de valor elevado, de maneira a colocar anúncios pagos às custas das vítimas.

Como explicado pela cybernews, esta extensão do Google Chrome desenvolveu uma técnica para roubar contas de Facebook e autopropagar-se de forma autónoma.

Segundo os investigadores, “A extensão maliciosa era promovida em publicações patrocinadas pelo Facebook como uma maneira rápida de iniciar o ChatGPT diretamente através do browser. Apesar da extensão fornecer essa funcionalidade (ao conectar-se à API oficial do ChatGPT), esta também roubava toda a informação que conseguia do browser da vítima, roubando cookies de sessões ativas de qualquer serviço disponível (Por exemplo, Youtube, Twitter e WhatsApp) e implementando táticas avançadas para roubar a conta do Facebook da vítima.

Normalmente, os dados roubados são vendidos na internet, mas após uma análise mais a fundo, verificou-se que era dada uma atenção extra a contas comerciais do Facebook de alto nível. Através destas, a campanha podia continuar a propagar-se com as contas roubadas, efetuando mais publicações por parte dos perfis das vítimas e gastando o dinheiro que estas tinham nas suas contas.

O que é interessante é que os desenvolvedores da extensão deram-se ao trabalho de fornecer exatamente o que prometem, um pequeno pop-up após clicar no ícone da extensão, de maneira a perguntar qualquer coisa ao ChatGPT.

No entanto, é exatamente aqui que a situação se começa a tornar peculiar. A extensão passa a ser parte integral do browser da vítima. Desta maneira, pode enviar pedidos para qualquer serviço, fazendo-se passar pela vítima. Isto é crucial, visto que o browser, na maior parte dos casos, tem uma sessão ativa e autenticada com quase todos os serviços utilizados diariamente, como por exemplo o Facebook.

Mais especificamente, isto permite que a extensão aceda à Graph API da Meta para desenvolvedores, permitindo ao atacante aceder rapidamente a todos os detalhes da vítima e efetuar ações por parte da mesma. Os atacantes até desenvolveram uma maneira de ultrapassar as medidas de proteção do Facebook através da modificação do nome dos pedidos ao servidor.

Assim que a extensão descobre que a vítima tem uma conta comercial (business account), esta vai recolher todas as informações da mesma e todos os anúncios feitos, bem como a sua informação financeira (financial data).

Se os atacantes acharem que a conta da vítima é interessante suficiente (Por exemplo, a conta tem milhares de likes e um plano de anúncios com créditos para gastar), então nesses casos ficam com a conta para eles.

Existe um módulo específico no código da extensão que é responsável por enviar pedidos para os servidores do Facebook em nome da vítima, que automatiza o processo completo de registar uma aplicação maliciosa e aprová-la de maneira a ganhar “Full Admin Mode”.

Uma aplicação sob o ecossistema do Facebook é normalmente um SaaS que está aprovada para utilizar a sua API, o que permite que um serviço de terceiros consiga aceder a informação da conta, bem como efetuar ações por parte da vítima. Para contexto, estas aplicações são aquelas que costumam aparecer no feed em publicações promocionais

Exemplo de uma das aplicações maliciosas e permissões

Nome da aplicação: Messenger Kids for IOS

De acordo com a equipa de investigadores, “Esta aplicação aprovada pelo Facebook e funcional, requisita todas as permissões disponíveis. Desde o controlo total do perfil e atividade do Facebook da vítima, a privilégios de administrador de todos os grupos, páginas e contas de publicidade, os atacantes podem também gerir as contas de WhatsApp e Instagram conectadas da vítima.”

Para além disso, esta utiliza quase o mesmo nome e o mesmo ícone que uma aplicação oficial do Facebook:

Conclusão

A extensão “Quick access to Chat GPT” foi introduzida na Chrome Store a 3 de março de 2023 e foi instalada por cerca de 2000 utilizadores diariamente. Neste momento (9 de março de 2023), a Google já removeu a extensão maliciosa da loja do Chrome como seguimento ao relatório dos investigadores.

Verifica-se portanto, que é fundamental não confiar de maneira incondicional em aplicações ou extensões, independentemente de sua origem ou reputação. Por exemplo, a Google ainda permite “malvertising em resultados de pesquisa promovidos”, o Youtube não consegue ver-se livre de canais roubados que promovem Cryptoscams e o Facebook permite aplicações falsas que imitam a sua própria aplicação.

É inegável que estas atividades estão se a tornar cada vez mais recorrentes, o que nos obriga a sermos mais vigilantes nas nossas pesquisas diárias na internet. É preciso adotar uma postura cautelosa e não confiar no primeiro resultado de pesquisa, evitar clicar em links e publicações duvidosas, sem antes certificar-se da veracidade e segurança dos mesmos.

Referências

WeSecure assegura diversos serviços nas áreas de cibersegurança, cibercrime, privacidade dos dados e análise forense, através de recursos especializados e com experiência na área. 

Respeitamos a privacidade e somos membros do IAPP – The International Association of Privacy Professionals, a maior associação internacional de Profissionais a atuar na Área do Privacy e da Proteção de Dados.

Para mais informações contacte-nos.

 


MORADA

Rua Soares dos Reis, nº765 – 3
4400 – 317 Vila Nova de Gaia
Portugal

 

 

EMAIL

info@wesecure.pt