安全動態(tài)

無密碼繞過!黑客利用ChatGPT劫持Facebook賬戶

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2023-03-13    瀏覽次數(shù):
 

Dark Reading 網(wǎng)站披露, 3 月 3 日- 3 月 9 日,每天至少有 2000 人從 Google Play 應(yīng)用商店下載"快速訪問 ChatGPT“ 的 Chrome 惡意擴展。據(jù)悉,一名威脅攻擊者可能利用該惡意擴展泄露包括商業(yè)賬戶在內(nèi)的數(shù)千個 Facebook 賬戶。

1678690800_640ec9f00aedbc78b0365.png!small

從 Guardio 的分析結(jié)果來看,惡意 "快速訪問 Chat GPT "的擴展程序承諾用戶可以快速與近期大火的人工智能聊天機器人 Chat GPT 進行互動。然而事實上,該擴展程序偷偷地從瀏覽器中竊取所有授權(quán)活動會話的 cookies,并安裝了一個后門,使惡意軟件運營者能夠輕松獲得用戶 Facebook 賬戶的超級管理員權(quán)限。

值得注意的是,"快速訪問 Chat GPT "擴展程序僅僅是威脅攻擊者利用 ChatGPT 大火來分發(fā)惡意軟件和滲透系統(tǒng)的眾多方式之一。

近幾個月,隨著 ChatGPT 持續(xù)火爆,以其主題的釣魚電子郵件急劇增加,越來越多的攻擊者使用假冒的 ChatGPT 應(yīng)用程序傳播 Windows 和 Android 惡意軟件。

以 Facebook 商業(yè)賬戶為目標的 ”僵尸軍團“

"快速訪問 Chat GPT "的擴展程序?qū)嶋H上是通過連接聊天機器人的 API 實現(xiàn)了對 ChatGPT 的快速訪問,但在訪問過程中,該擴展還收集了用戶瀏覽器中存儲的包括谷歌、Twitter 和 YouTube 以及任何其它活動在內(nèi)的所有 cookie 列表。

如果某個用戶在 Facebook 上有一個活動、經(jīng)過驗證的會話,則惡意擴展插件為開發(fā)人員訪問 Meta 的 Graph API。API 訪問使擴展能夠獲取與用戶 Facebook 帳戶相關(guān)的所有數(shù)據(jù),甚至可以代表用戶采取各種行動。

更不幸的是,惡意擴展代碼中的一個組件允許劫持用戶的 Facebook 帳戶,其方法是在用戶帳戶上注冊一個惡意應(yīng)用程序,并獲得 Facebook 的批準。對此 Guardio 表示,F(xiàn)acebook 生態(tài)系統(tǒng)下的應(yīng)用程序通常是一個 SaaS 服務(wù),它被批準使用其特殊的 API。因此,通過在用戶帳戶中注冊應(yīng)用程序,威脅攻擊者可以在受害者的 Facebook 帳戶上獲得完全管理模式,而無需獲取密碼或嘗試繞過 Facebook 的雙重身份驗證。

如果惡意擴展遇到了一個 商業(yè) Facebook 帳戶,它會快速獲取與該帳戶相關(guān)的所有信息,包括當前活動的促銷活動、信用余額、貨幣、最低計費閾值等。

一個有經(jīng)濟動機的網(wǎng)絡(luò)罪犯

在 Facebook 通過其 Meta Graph API 授予訪問權(quán)之前,首先必須確認該請求是來自一個經(jīng)過認證的可信用戶,為了規(guī)避這一預(yù)防措施,威脅者在惡意的瀏覽器擴展中加入了代碼,確保從受害者的瀏覽器向Facebook 網(wǎng)站發(fā)出的所有請求都被修改了標題,以便它們看起來也是可信的,這使得該擴展能夠使用受感染的瀏覽器自由地瀏覽任何 Facebook 頁面(包括進行 API 調(diào)用和操作),而不留下任何痕跡。

最后,Guardio 評估后表示,威脅行為者可能會將其從活動中收獲的信息賣給出價最高的人,該公司還預(yù)計攻擊者有可能創(chuàng)建一個被劫持的 Facebook商業(yè)賬戶的機器人大軍,利用受害者賬戶的錢來發(fā)布惡意廣告。

參考文章:

https://www.darkreading.com/application-security/chatgpt-browser-extension-hijacks-facebook-business-accounts

 
 

上一篇:2023年3月14日聚銘安全速遞

下一篇:兩會熱議健康碼去留!主張其退出并刪除數(shù)據(jù)或成代表委員共識