Versi trojan dari ekstensi ChatGPT yang sah untuk Chrome mendapatkan popularitas di Toko Web Chrome, mengumpulkan lebih dari 9.000 unduhan sambil mencuri akun Facebook.
Ekstensi adalah salinan dari add-on populer yang sah untuk Chrome bernama “ChatGPT untuk Google” yang menawarkan integrasi ChatGPT pada hasil pencarian. Namun, versi jahat ini menyertakan kode tambahan yang berupaya mencuri cookie sesi Facebook.
Penerbit ekstensi mengunggahnya ke Toko Web Chrome pada 14 Februari 2023, tetapi baru mulai mempromosikannya menggunakan iklan Google Penelusuran pada 14 Maret 2023. Sejak saat itu, ekstensi ini memiliki rata-rata seribu pemasangan per hari.
Peneliti yang menemukannya, Nati Tal dari Guardio Labs, melaporkan bahwa ekstensi tersebut berkomunikasi dengan infrastruktur yang sama yang digunakan awal bulan ini oleh add-on Chrome serupa yang mengumpulkan 4.000 pemasangan sebelum Google menghapusnya dari Toko Web Chrome.
Oleh karena itu, varian baru ini dianggap sebagai bagian dari kampanye yang sama, yang disimpan oleh operator sebagai cadangan di Toko Web Chrome saat ekstensi pertama akan dilaporkan dan dihapus.
Menargetkan akun Facebook
Ekstensi jahat dipromosikan melalui iklan di hasil Google Penelusuran, yang ditampilkan secara mencolok saat menelusuri “Chat GPT 4”.
Mengklik hasil pencarian bersponsor membawa pengguna ke halaman arahan “ChatGPT for Google” palsu, dan dari sana, ke halaman ekstensi di toko add-on resmi Chrome.
Setelah korban menginstal ekstensi, mereka mendapatkan fungsionalitas yang dijanjikan (integrasi ChatGPT pada hasil pencarian) karena kode ekstensi yang sah masih ada. Namun, add-on berbahaya ini juga berupaya mencuri cookie sesi untuk akun Facebook.
Setelah pemasangan ekstensi, kode berbahaya menggunakan fungsi penangan OnInstalled untuk mencuri cookie sesi Facebook.
Cookie yang dicuri ini memungkinkan pelaku ancaman untuk masuk ke akun Facebook sebagai pengguna dan mendapatkan akses penuh ke profil mereka, termasuk semua fitur iklan bisnis.
Malware menyalahgunakan API Ekstensi Chrome untuk mendapatkan daftar cookie terkait Facebook dan mengenkripsinya menggunakan kunci AES. Itu kemudian mengekstraksi data yang dicuri melalui permintaan GET ke server penyerang.
“Daftar cookie dienkripsi dengan AES dan dilampirkan ke nilai header HTTP X-Cached-Key,” jelas Laporan Guardio Labs.
“Teknik ini digunakan di sini untuk mencoba dan menyelundupkan cookie keluar tanpa mekanisme DPI (Deep Packet Inspection) apa pun yang meningkatkan peringatan pada muatan paket.”
Pelaku ancaman kemudian mendekripsi cookie yang dicuri untuk membajak sesi Facebook korban mereka untuk kampanye malvertisasi atau untuk mempromosikan materi yang dilarang seperti propaganda ISIS.
Malware secara otomatis mengubah detail login pada akun yang dilanggar untuk mencegah korban mendapatkan kembali kendali atas akun Facebook mereka. Itu juga mengganti nama dan gambar profil menjadi persona palsu bernama “Lilly Collins.”
Saat ini, ekstensi berbahaya Google Chrome masih ada di Toko Web Google Chrome.
Namun, peneliti keamanan melaporkan ekstensi berbahaya tersebut ke tim Toko Web Chrome, yang kemungkinan akan segera dihapus.
Sayangnya, berdasarkan riwayat sebelumnya, pelaku ancaman kemungkinan besar memiliki rencana ‘C’ melalui perpanjangan “parkir” lain yang dapat memfasilitasi gelombang infeksi berikutnya.
BleepingComputer menghubungi Google dengan pertanyaan lebih lanjut tentang ekstensi, tetapi tanggapan tidak segera tersedia.
