Extensión de navegador ChatGPT secuestra cuentas comerciales de Facebook

Extensión de navegador ChatGPT secuestra cuentas comerciales de Facebook - Codelivly

 

Un actor malicioso puede haber comprometido miles de cuentas de Facebook, incluidas las cuentas de trabajo, a través de una sofisticada extensión de navegador Chrome ChatGPT falsa que hasta principios de esta semana estaba disponible en la Chrome Store oficial de Google.

Según un análisis realizado esta semana por Guardio, la extensión maliciosa "Acceso rápido al chat GPT" prometía a los usuarios una forma rápida de interactuar con el popular chatbot de IA. De hecho, también recopiló subrepticiamente una amplia gama de información del navegador, robó cookies de todas las sesiones activas permitidas e instaló una puerta trasera que le dio al autor del malware permisos de superadministrador en la cuenta de Facebook del usuario.

La extensión del navegador ChatGPT Quick Access es solo un ejemplo de las muchas formas en que los actores de amenazas han tratado de aprovechar el gran interés público en ChatGPT para distribuir malware e infiltrarse en los sistemas. Un ejemplo es un adversario que creó una página de destino falsa de ChatGPT, donde los usuarios engañados para que "se registraran" terminaron descargando un troyano llamado Fobo. Otros informaron un fuerte aumento en los correos electrónicos de phishing con el tema de ChatGPT en los últimos meses y el uso cada vez mayor de aplicaciones falsas de ChatGPT para distribuir malware de Windows y Android.

Índice
  1. Dirigirse a cuentas comerciales de Facebook para un "ejército de bots"
  2. Un ciberdelincuente motivado financieramente

Dirigirse a cuentas comerciales de Facebook para un "ejército de bots"

El análisis de Guardio mostró que la extensión maliciosa del navegador en realidad ofrecía el acceso rápido prometido a ChatGPT, simplemente conectándose a la API del chatbot. Pero, además, la extensión también recogía una lista completa de todas las cookies almacenadas en el navegador del usuario, incluidos tokens de seguridad y de sesión para Google, Twitter y YouTube, y cualquier otro servicio activo.

En los casos en que el usuario pudo haber tenido una sesión activa y autenticada en Facebook, la extensión accedió a la API Graph de Meta para desarrolladores. El acceso a la API le dio a la extensión la capacidad de recopilar todos los datos asociados con la cuenta de Facebook del usuario y, lo que es más preocupante, realizar varias acciones en nombre del usuario.

Lo que es más preocupante, un componente del código de la extensión permitió que la cuenta de Facebook del usuario fuera secuestrada esencialmente registrando una aplicación maliciosa en la cuenta del usuario y haciendo que Facebook la aprobara.

"Una aplicación en el ecosistema de Facebook suele ser un servicio SaaS que ha sido aprobado para usar su API especial", explicó Guardio. Por lo tanto, al registrar una aplicación en la cuenta del usuario, el actor de amenazas obtuvo el modo de administrador completo en la cuenta de Facebook de la víctima sin tener que recopilar contraseñas o intentar eludir la autenticación en dos factores de Facebook, escribió el proveedor de seguridad.

Si la extensión encontraba una cuenta comercial de Facebook, recopilaba rápidamente toda la información relacionada con esa cuenta, incluidas las promociones actualmente activas, el saldo de crédito, la moneda, el umbral mínimo de facturación y si la cuenta podría estar asociada con una instalación de crédito. "Más tarde, la extensión examina todos los datos recopilados, los prepara y los envía de vuelta al servidor C2 mediante las siguientes llamadas a la API, cada una basada en la relevancia y el tipo de datos".

Un ciberdelincuente motivado financieramente

Guardio opinó que el actor de amenazas probablemente venderá la información que reunió durante la campaña al mejor postor. La compañía también prevé la posibilidad de que el atacante cree un ejército de bots a partir de cuentas de Facebook Business secuestradas, que podría usar para publicar anuncios maliciosos usando dinero de las cuentas de las víctimas.

Guardio describió que el malware tiene mecanismos para eludir las medidas de seguridad de Facebook al manejar solicitudes para acceder a sus API. Por ejemplo, antes de que Facebook otorgue acceso a través de su API Meta Graph, primero confirma que la solicitud proviene de un usuario autenticado y también de un origen confiable, dijo Guardio. Para eludir la precaución, el autor de la amenaza incluyó un código en la extensión del navegador malicioso que aseguraba que todas las solicitudes al sitio web de Facebook desde el navegador de la víctima tuvieran sus encabezados modificados para que también parecieran provenir de allí.

Si quieres conocer otros artículos parecidos a Extensión de navegador ChatGPT secuestra cuentas comerciales de Facebook puedes visitar la categoría Tutoriales.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir

Esta página web utiliza cookies para analizar de forma anónima y estadística el uso que haces de la web, mejorar los contenidos y tu experiencia de navegación. Para más información accede a la Política de Cookies . Ver mas