FakeGPT"：Fake

被劫持的Facebook恶意广告的恶性循环

我们在Guardio的安全研究团队一直在监测围绕ChatGPT品牌滥用的活动，无休止的活动传播恶意软件和钓鱼式的信用卡。2023年3月3日，我们的团队检测到一个恶意的假ChatGPT浏览器扩展的新变体，这是2月初开始的活动的一部分，还有其他几个ChatGPT品牌的tr外汇最新消息恶意扩展。这次升级了威胁性的技术，以接管你的Facebook账户，以及复杂的蠕虫式传播方式。

这个名为 "快速访问Chat GPT"的恶意窃取者扩展在Facebook赞助的帖子中被宣传为一种直接从浏览器开始使用ChatGPT的快速方法。尽管该扩展程序给你提供了这些（通过简单地连接到官方ChatGPT的API），但它也从你的浏览器中收获了所有的信息，窃取了你的任何服务的授权活动会话的cookies，并且还采用了量身定做的战术来接管你的Facebook账户。

从恶意广告、扩展安装、劫持Facebook账户，经纪商再到传播。

一旦威胁者掌握了你被盗数据的所有权，它可能会像往常一样把它卖给出价最高的人，然而当我们深入调查这一行动时，我们注意到他们对高知名度的Facebook商业账户格外关注。有了这种方法，该活动就可以用它自己的被劫持的Facebook机器人账户大军继续传播，代表其受害者的个人资料发布更多的赞助帖子和其他社会活动，并花费商业账户的资金信用

上述高层次的活动描述里面隐藏着一些复杂的技术，以收获受害者的详细资料并接管Facebook账户。这些都是在滥用谷歌和Facebook的在线服务和强大的API--给这些威胁者一些非常强大的成功工具。

滥用受害者浏览器的上下文

一旦安装了这个扩展，它就会给你提供广告中的内容--在你点击扩展图标后，会出现一个小的弹出窗口，并提示你向ChatGPT提出任何要求。

然而，这正是它开始变得可疑的地方。该扩展现在是你的浏览器的一个组成部分。因此，它可以向任何其他服务发送任何请求--就像浏览器所有者自己从同一背景下发起的一样。这一点至关重要--因为在大多数情况下，浏览器已经与你的几乎所有日常服务（如Facebook）有一个活跃的、经过认证的会话。

更具体地说，这允许扩展程序访问Meta的图形API，供开发人员使用--允许威胁行为者快速访问你的所有细节，还可以使用简单的API调用直接在你的Facebook账户中代表你采取行动。

当然，Facebook采取了一些限制和安全措施--例如，确保请求来自于一个经过认证的用户以及相关的来源。扩展程序已经有了一个与Facebook的认证会话，但它所发送的请求的来源呢？好吧，由于Chrome的声明式NetRequestAPI，该扩展有一个简单的方法来规避Facebook的保护。

下面这段代码在恶意扩展启动时被调用，确保你的浏览器上的任何来源（包括扩展本身）向facebook.com发出的所有请求都会被修改为反映来源为 "facebook.com"。这使得该扩展能够使用你受感染的浏览器自由地浏览任何Facebook页面（包括进行API调用和操作），并且不留任何痕迹。

请注意，变量d持有相关的域名（在我们的例子中是facebook.com），就像从C2服务器发送回分机的api2[.]openai-service[.]workers[.]dev一样。

收获数据并将其发送回C2服务器

现在，一旦受害者打开扩展窗口并向ChatGPT写了一个问题，查询就会被发送到OpenAIs服务器，让你忙碌起来--同时在后台立即触发收获。

以下是来自恶意扩展源的一些去模糊化代码的例子。它是用typescript写的，并进行了打包/简化，然而使用里面的.map文件，我们设法将代码重新组合，使其更易读--显示所有的函数和变量名称，出现了真正的信息，从第一眼就能看出这段代码的真正意图：

以上是使用Facebook的Graph API以及其他Chrome的API执行不同查询的主要功能，如获取你所有的cookies。从代码中可以看到一个值得注意的例子：

上述Graph API调用将为攻击者提供他们所需要的关于你的Facebook商业账户的一切信息（如果有的话），包括你当前活跃的促销活动和信贷余额。之后，扩展程序会检查所有收获的数据，对其进行预处理，并使用以下API调用将其发送回C2服务器--每个调用都根据相关性和数据类型：

每次调用都包括一个详细的JSON格式的有效载荷，其中包括他们需要的所有内容，包括会话cookie、资金余额和其他东西。这只是一个基本数据外流的快速例子：

在API调用 "add-data-account "时，从扩展部分向C2发出数据的例子

从扩展到C2的API调用 "add-ads-manager "的外发数据示例

在第一个例子中，为了显示而减少了全部的cookies列表，但你会发现有所有的cookies存储在你的浏览器上--包括YouTube、谷歌账户、Twitter等服务的安全和会话令牌。
在第二个例子中，一旦扩展程序发现你有一个商业页面，它将收集你的Facebook账户的详细信息和所有当前的广告配置，以及上面看到的财务数据。

用粗糙的Facebook应用程序接管账户

现在，威胁者有足够的数据来获利--然而，如果他们发现你的账户对自己来说足够有趣（例如，你有一个有大量赞的商业页面和一个有信用额度的广告计划等待花费）--是时候接管并获得控制权了

扩展代码中一个专门开发的模块（Portal.ts）包括一个名为Potal（是的，有一个错字......）的类，就是负责这个魔法的。这个威胁行为者没有试图获取账户密码，也没有试图通过会话令牌绕过2FA（由于Facebook的安全措施，这并不容易），而是选择了另一种方式--恶意的Facebook应用程序。

在Facebook的生态系统下的应用程序通常是一种SaaS服务，它被批准使用其特殊的API，允许第三方服务获得账户信息，并代表你进行操作。我们都记得那些用促销帖子向我们发送垃圾信息的应用程序，但这个威胁行为者正在把它提升到另一个层次。

Potal模块再次滥用ChatGPT弹出式上下文，代表你向Facebook服务器发送请求--这次是自动完成在你的账户上注册一个应用程序的整个过程，并批准它获得，基本上，一个完全的管理员模式。

从代码中可以看出，这个威胁行为者使用了两个主要的应用程序：

第一个恶意的Facebook应用程序（门户网站）已经不可用了，然而第二个应用程序仍然活着，而且还在运行。为了真正了解它的作用，我们操纵了Facebook的设置页面，将我们账户上真正安装的应用程序的app_id改为该威胁行为者使用的app_id：

这样我们就揭示了它的名字、图标，以及最重要的--一长串（真的很长）的权限授予清单：

这个应用程序，由于某种原因，实际上是由Facebook批准的，而且功能齐全，似乎要求所有可用的权限从完全控制你的Facebook个人资料和活动到管理你所有的群组、页面、业务，当然还有广告账户的权力。他们甚至可以管理你连接的WhatsApp和Instagram账户

此外，它使用与Facebook官方应用程序相同的名称和图标：

Facebook官方Messenger Kids应用程序的列表

在Potal模块的这个主要功能中，可以看到自动将应用程序添加到受害者账户的过程。这里的所有功能都是使用Facebook Graph API，不需要受害者的任何互动--从请求添加应用程序，到认证和最终确认：

这一次，这里流出的数据在被送回国内之前被加密了--我们认为这是由于威胁行为者用这种方法只针对真正有价值的目标，而且他们使用用这些账户创建的Facebook推广帖子来自我传播这种和其他恶意活动。

总结

这个恶意扩展不仅在官方的Chrome浏览器商店里自由游荡（而且在写这几行字的时候仍然存在），而且它还在滥用Facebook的官方应用API，这种方式应该已经引起了政策执行者的注意。更不用说那些虚假和恶意的推广帖子被Facebook如此轻易地批准。

自2023年3月3日首次出现以来，每天有超过2000名用户安装这个扩展程序--每个人的Facebook账户都被盗，而且这可能不是唯一的损失。

我们最近看到，我们过去盲目地给予那些负责我们大部分在线存在和活动的公司和大公司的信任受到了麻烦的打击--谷歌仍然允许在其推广的搜索结果上进行恶意广告，YouTube无法摆脱那些宣传Cryptoscams的劫持频道，而Facebook允许模仿Facebook自己的应用程序的权限饥渴的假应用程序

这些活动，可能会在这里停留。因此，我们必须提高警惕，即使是在我们的日常休闲浏览中--不要点击第一个搜索结果，并始终确保你不会点击赞助链接和帖子，除非你非常确定它们背后是谁!

IOCs

这篇文章是与Guardio实验室合作发表的

图片来源：Unsplash.com

本文地址：https://forextrustindex.com/html/94c899897.html