"FakeGPT "#2：Facebook账户窃取者的另一个变体

在Guardio向谷歌报告的户窃几个小时后，该扩展现在已经从Chrome商店中删除。变体在删除的户窃时候，据说有9000多名用户安装了它。变体

从开放源码到恶意源码

FakeGPT Chrome扩展的户窃新变种，名为 "Chat GPT For Google"，变体交易所和场外交易市场的区别在浏览器整合ChatGPT的户窃掩护下，再次以你的变体Facebook账户为目标。这一次，户窃威胁者不需要在这个恶意的变体ChatGPT主题扩展的外观和感觉上下功夫--他们只是分叉和编辑了一个知名的开源项目，而这个项目正是户窃这样做的。从零到 "英雄"，变体10大正规现货交易平台大概不到2分钟的户窃时间。

左图：Chrome商店中的变体 "FakeGPT "变体。右图：真正的户窃 "ChatGPT for Google "扩展程序

真正的 "ChatGPT for Google "扩展是基于这个开源项目，它在过去几个月中获得了知名度和数百万的用户。作为一个开源项目，它的目的是分享知识并为开发者社区做出贡献--他们不知道它将被如此轻易地滥用于恶意活动。

用谷歌赞助搜索推送的窃取者

这一次，恶意扩展没有使用赞助的Facebook帖子来推送，而是通过恶意赞助的谷歌搜索结果，正如我们最近看到的许多其他活动。

于是，你搜索 "Chat GPT 4"，急于测试新的算法，最后点击了一个赞助的搜索结果，承诺你会这样做。这将使你重定向到一个登陆页面，为你提供ChatGPT，就在你的搜索结果页面中--剩下的就是在官方的Chrome商店中安装这个扩展。这将使你能够从搜索结果中访问ChatGPT，但也会在瞬间危及你的Facebook账户!

从谷歌搜索到被入侵的Facebook账户的攻击流程

通过假的HTTP头加密的Cookie-Sneaking

基于1.16.6版本的开源项目，这个FakeGPT变体在安装后只做了一个特定的恶意行为，其余部分与正版代码基本相同--没有留下任何怀疑的理由。

GitHub上真正的ChatGPT for Google开源项目页面

看一下扩展安装后触发的OnInstalled处理函数，我们看到真正的扩展只是利用它来确保你看到选项屏幕（登录到你的OpenAI账户）。另一方面，分叉后的恶意代码正是利用这个时机来抢夺你的会话cookie--正如我们在恶意扩展的去混淆代码样本中看到的那样

我们在这里看到的是直接的Cookie-Hijacking，再次专门针对Facebook，从下面的代码片段中可以看出，函数et()正在从通过Chrome Extension API获得的全部列表中过滤与Facebook相关的cookie。随后，xa()被用来用AES加密所有内容，使用的密钥是 "chatgpt4google"：

一旦清单准备好了，它就会以GET请求的方式被发送至托管在workers.dev服务上的C2服务器，与我们在FakeGPT的原始变体上看到的服务相同。

Cookie列表用AES加密，并附加到X-Cached-Key HTTP头值。这种技术在这里被用来尝试在没有任何DPI（深度包检测）机制对数据包有效载荷发出警报的情况下偷偷地把cookie拿出来（这就是为什么它也是加密的）。
请注意，在HTTP协议中没有X-Cached-Key头！有一个X-Cache-Key头（没有 "d"），用于响应，而不是请求。但这并不影响那些从被攻击的浏览器中获得他们所需要的东西的骗子：

解密Header值将给我们提供这个易于阅读的列表，其中包括所有当前在浏览器上活跃的Facebook会话cookie，看起来像这样（减少的列表）：

对于上述请求，C2服务器回应的是一个通用的404错误，就是这样--"你所有的Facebook都属于我们！"

从Cookie-Sneaking到Facebook-Hijacking

对于威胁者来说，可能性是无穷无尽的--将你的个人资料作为一个机器人，用于评论、喜欢和其他推广活动，或者利用你的声誉和身份创建网页和广告账户，同时推广既合法又可能不合法的服务。

有了这些cookies，你的Facebook会话可以迅速被超越，你的基本账户登录信息被改变，从这一点上看，你进一步失去了对你的个人资料的控制，没有办法重新获得它。随后会自动改变个人资料的名称和图片--可能是另一个假的 "Lilly Collins"（这似乎是他们的最爱），当然，你的私人数据被收割（为了更多的利润），并被永远清除，为恶意行为腾出空间。

我们最近看到很多用户资料都上了这个当，许多人后来被滥用于在Facebook生态圈内推送更多的恶意活动，甚至是最糟糕的简单宣传。

一个相当残酷的例子是2023年3月4日被劫持的RV销售业务页面，可以直观地看出这一切。仍然可以在原来的网址https://www[.]facebook[.]com/shadymaplefarmmarket，现在被用来宣传ISIS内容。请看莉莉-柯林斯在被劫持后立即被自动添加为个人资料照片（可能是由骗子使用的自动系统）。这后来被更新为以ISIS为主题的图片，可能是在它被卖给另一个希望利用高知名度的被盗Facebook账户来传播这种内容的演员之后：

被劫持的Facebook商业页面用于推广ISIS内容的例子

最后但并非最不重要

滥用ChatGPT的品牌和知名度不断上升，不仅用于Facebook账户的收集，也不仅用于Chrome的恶意假扩展。Facebook、谷歌和其他大公司提供的主要服务正受到持续的攻击和滥用，而在这一切的最后，受到打击的主要是我们这些用户。

意识是躲避这些攻击和保持你的数据隐私的关键因素，然而这些天越来越明显的是，即使对于家庭/休闲的互联网用户，也必须有某种安全保护和检测服务，更贴近和专注于他们的需求--克服这些巨大的安全漏洞，打击大量的用户。

阅读更多关于 "FakeGPT "运动的信息：

"FakeGPT"：Fake-ChatGPT Chrome Extension的新变种窃取Facebook广告账户，每日安装量达数千次

IOCs

这篇文章是与Guardio实验室合作发表的。

图片来源：unsplash.com

本文地址：https://www.fxscam.com/html/84c0799908.html