Si bien se anuncia como una utilidad que integra ChatGPT en los resultados de búsqueda del navegador, la extensión tiene un propósito más oscuro: el robo encubierto de las cookies de sesión de Facebook.
El actor de amenazas comenzó a publicitar la herramienta el 14 de marzo, un mes después de su fecha de publicación, utilizando anuncios de búsqueda de Google. Según se informa, la búsqueda de "Chat GPT 4", "ChatGPT 4" o variaciones de palabras clave similares generó en los usuarios resultados patrocinados que conducían a la herramienta maliciosa.
Acceder a los enlaces destacados llevaría a los visitantes a una página de destino falsa que anuncia "ChatGPT para Google". Seguir este camino guió a los usuarios a la página "oficial" de la extensión en la tienda web de Chrome.
Para evitar sospechas, el perpetrador agregó el código malicioso de robo de cookies sobre el código legítimo de la extensión. En otras palabras, los usuarios aún podían usar la extensión, lo que desviaba su atención del propósito oculto de la herramienta.
Una vez instalada, la extensión aprovecha la onInstalledfunción de controlador para recolectar cookies de sesión de Facebook. Luego los cifra con una clave AES y extrae los datos al servidor del atacante mediante una solicitud GET.
Después de descifrar las cookies robadas, los actores de amenazas pueden usarlas para iniciar sesión en las cuentas de Facebook de las víctimas con todos los derechos de propiedad. Como informa BleepingComputer , los perpetradores usan cuentas secuestradas para ejecutar campañas de publicidad maliciosa y difundir materiales prohibidos como la propaganda de ISIS.
La extensión maliciosa también tiene un mecanismo de persistencia rudimentario para evitar que las víctimas recuperen sus cuentas. Después de secuestrarlos, la herramienta altera automáticamente los detalles de inicio de sesión de las cuentas, cambia los nombres de perfil y establece una imagen de perfil para que coincida con una persona falsa llamada "Lilly Collins".
Afortunadamente, la extensión se eliminó de la tienda web de Chrome. Sin embargo, los expertos en seguridad creen que los actores de amenazas podrían tener un plan de respaldo en forma de una extensión inactiva e igualmente maliciosa lista para funcionar.
Autor: