一款名為「Quick access to ChatGPT」的Chrome擴充套件,濫用了ChatGPT、Google與Facebook的合法API,可於背景竊取受害者使用服務的已授權對話Cookie,並接管受害者臉書帳號。
文/陳曉莉 | 2023-03-15發表
圖片來源: Guardio當紅的ChatGPT持續遭到駭客利用,資安業者Guardio在上周揭露了一款名為「Quick access to ChatGPT」的Chrome擴充套件,它同時濫用了ChatGPT、Google與Facebook的合法API,其中一個主要目的是為了挾持並接管臉書用戶的帳號,特別是存有廣告額度的臉書企業帳號。
Guardio是在今年的3月3日偵測到此一變種的惡意ChatGPT擴充套件,發現每天都有超過2,000名使用者安裝該擴充套件,且每一名受害者的臉書帳號都遭竊,無一倖免。Google則是在收到Guardio的通知後,於3月9日將它自Chrome Web Store下架。
駭客是先在臉書上刊登廣告,吹噓只要安裝了「Quick access to ChatGPT」就能直接於瀏覽器及Google搜尋中使用ChatGPT,例如當使用者於Google搜尋列輸入問題時,結果頁的右邊即會出現另一個視窗,展示源自ChatGPT的答案。
圖片來源/Guardio
然而,此一已整合至Chrome瀏覽器的擴充套件,卻可於背景竊取所有受害者正使用服務的已授權對話Cookie,還能採用量身打造的策略來接管受害者的臉書帳號。
因為在它堂而皇之地登上Chrome Web Store並安裝在受害者的Chrome瀏覽器之後,即可合法呼叫各種Chrome與臉書API,存取受害者各種服務的所有Cookie,包含安全與對話令牌,從YouTube、Google、Twitter到臉書不等,倘若受害者恰巧擁有臉書的企業帳號,那麼它還會蒐集受害者目前正在進行的臉書推廣活動及廣告餘額,並將所有的資料傳送至駭客所掌控的C2伺服器。
駭客對臉書企業帳號特別感興趣,只是所使用的惡意模組並非企圖以對話令牌繞過2FA或是取得帳號密碼,而是藉由惡意的臉書應用程式來接管受害者的臉書帳號。
Guardio說明,臉書生態體系中的應用程式通常是個獲准使用特殊API的SaaS服務,以讓第三方服務能夠取得帳號資訊並代替使用者進行操作,惡意模組即濫用ChatGPT的跳出視窗,代替使用者傳送請求至臉書伺服器,而且把於帳號中註冊應用程式的過程完全自動化,進而得到完整的管理模式。
其中一個已經被臉書批准的惡意應用程式幾乎請求了所有的權限,得以讓駭客控制受害者的臉書檔案,擁有所有社團、粉絲頁及廣告帳號的管理權限,甚至能夠控制該臉書帳號與WhatsApp及Instagram帳號的連結。
在取得了受害者的臉書企業帳號之後,駭客即可利用這些帳號的資源,再於臉書上展開「Quick access to ChatGPT」惡意擴充套件的廣告活動。
Guardio指出,「Quick access to ChatGPT」不僅登上了Chrome的官方商店,還濫用了理應觸發臉書政策的應用程式API,更遑論這類的惡意廣告很容易得到臉書的批准;此外,Google也依舊放任搜尋結果中的惡意廣告,讓YouTube頻道被挾持以推廣加密貨幣詐騙,臉書亦持續允許那些模仿臉書自家程式且請求大量權限的仿冒程式。
Guardio奉勸使用者不要再盲目信任這些大品牌,不要點選第一個搜尋結果,也不要點擊不確定幕後推手的廣告連結與貼文。