W ostatnich dniach szerokim echem rozniosła się informacja o kradzieży danych z kont Facebook za pomocą rozszerzenia ChatGPT do przeglądarki Chrome. Zespół bezpieczeństwa Guardio odkrył kolejny wariant (po FakeGPT) w nowej kampanii, która trafiła już do tysięcy osób.
Rozszerzenie ChatGPT propagowane było od 14 marca przy użyciu złośliwych, sponsorowanych wyników wyszukiwania Google. Wdrożone na oficjalnym Chrome Store, masowo kradło ciasteczka sesji Facebooka i kompromitowało konta FB. Podąża to za obecnym trendem skradzionych kont na Facebooku, które zamieniają się w klony „Lily Collins” i boty wykorzystywane do promowania złośliwych działań – od kupowania polubieni po prostą propagandę ISIS.
Prawdziwe rozszerzenie „ChatGPT For Google” jest oparte na projekcie Open-Source, który zyskał ogromną popularność i miliony użytkowników w ciągu kilku ostatnich miesięcy. Jako projekt open-source, ma on na celu dzielenie się wiedzą i wkład w społeczność deweloperów. Mało kto wiedział, że będzie tak łatwo nadużywany do złośliwych działań. Bazując na wersji 1.16.6 projektu open-source, wariant FakeGPT wykonuje tylko jedną, konkretną, złośliwą akcję i to zaraz po instalacji. Reszta jest w zasadzie taka sama jak oryginalny kod, co nie pozostawia żadnych powodów do podejrzeń.
Kilka godzin po zgłoszeniu przez Guardio do Google (22 marca 2023), rozszerzenie zostało usunięte ze sklepu Chrome. W momencie usunięcia stwierdzono, że zainstalowało je ponad 9000 użytkowników. Wyszukiwanie dla rozszerzenia ChatGPT w bazach rozszerzeń dla Mozilla Firefox, dało 567 rezultatów, a dla Microsoft Edge – 47.
Niestety w wielu przypadkach instalacja aplikacji (lub wtyczki) nie wywołuje żadnych alertów ze strony systemów antywirusowych, ponieważ po prostu niezbyt dobrze wykrywają „nowe” zagrożenia. W przypadku instalacji rozszerzeń do przeglądarek, trzeba być wyjątkowo czujnym – od sprawdzenia jakich uprawnień potrzebuje dane rozszerzenie/aplikacja, faktycznego dostawcy i sprawdzenia co tak naprawdę robi w systemie ten dodatek.
Żródła i IoC:
Uważaj na wtyczki do przeglądarek i aplikacje związane z “ChatGPT” i “sztuczną inteligencją”
