Eine trojanisierte Version der legitimen ChatGPT-Erweiterung für Chrome wird im Chrome Web Store immer beliebter und sammelt über 9.000 Downloads, während sie Facebook-Konten stiehlt.
Die Erweiterung ist eine Kopie des legitimen beliebten Add-ons für Chrome mit dem Namen „ChatGPT für Google“, die ChatGPT-Integration in Suchergebnissen anbietet. Diese bösartige Version enthält jedoch zusätzlichen Code, der versucht, Facebook-Sitzungscookies zu stehlen.
Der Herausgeber der Erweiterung hat sie am 14. Februar 2023 in den Chrome Web Store hochgeladen, aber erst am 14. März 2023 damit begonnen, sie mithilfe von Google-Suchanzeigen zu bewerben. Seitdem hatte sie durchschnittlich tausend Installationen pro Tag.
Der Forscher, der es entdeckt hat, Nati Tal von Guardio Labs, berichtet, dass die Erweiterung mit derselben Infrastruktur kommuniziert, die Anfang dieses Monats von verwendet wurde ein ähnliches Chrome-Add-on das 4.000 Installationen anhäufte, bevor Google es aus dem Chrome Web Store entfernte.
Daher wird diese neue Variante als Teil derselben Kampagne angesehen, die die Betreiber als Backup im Chrome Web Store aufbewahrt haben, für den Fall, dass die erste Erweiterung gemeldet und entfernt würde.
Ausrichtung auf Facebook-Konten
Die schädliche Erweiterung wird über Anzeigen in den Google-Suchergebnissen beworben, die bei der Suche nach „Chat GPT 4“ prominent hervorgehoben werden.
Durch Klicken auf die gesponserten Suchergebnisse gelangen Benutzer zu einer gefälschten „ChatGPT für Google“-Zielseite und von dort aus zur Seite der Erweiterung im offiziellen Add-On-Store von Chrome.
Nachdem das Opfer die Erweiterung installiert hat, erhält es die versprochene Funktionalität (ChatGPT-Integration in den Suchergebnissen), da der Code der legitimen Erweiterung noch vorhanden ist. Das schädliche Add-on versucht jedoch auch, Sitzungscookies für Facebook-Konten zu stehlen.
Nach der Installation der Erweiterung verwendet bösartiger Code die OnInstalled-Handler-Funktion, um Facebook-Sitzungscookies zu stehlen.
Diese gestohlenen Cookies ermöglichen es den Angreifern, sich als Benutzer bei einem Facebook-Konto anzumelden und vollen Zugriff auf ihre Profile zu erhalten, einschließlich aller geschäftlichen Werbefunktionen.
Die Malware missbraucht die Chrome-Erweiterungs-API, um eine Liste mit Facebook-bezogenen Cookies zu erhalten, und verschlüsselt sie mit einem AES-Schlüssel. Anschließend schleust es die gestohlenen Daten über eine GET-Anforderung an den Server des Angreifers.
„Die Cookie-Liste wird mit AES verschlüsselt und an den X-Cached-Key-HTTP-Header-Wert angehängt“, erklärt der Guardio Labs-Bericht.
„Diese Technik wird hier verwendet, um zu versuchen, die Cookies herauszuschmuggeln, ohne dass DPI-Mechanismen (Deep Packet Inspection) Warnungen über die Paketnutzlast auslösen.“
Die Angreifer entschlüsseln dann die gestohlenen Cookies, um die Facebook-Sitzungen ihrer Opfer für Malvertising-Kampagnen zu kapern oder verbotenes Material wie ISIS-Propaganda zu fördern.
Die Malware ändert automatisch die Anmeldedaten der angegriffenen Konten, um zu verhindern, dass die Opfer die Kontrolle über ihre Facebook-Konten wiedererlangen. Es ändert auch den Profilnamen und das Bild zu einer gefälschten Person namens „Lilly Collins“.
Derzeit ist die schädliche Google Chrome-Erweiterung noch im Google Chrome Web Store vorhanden.
Der Sicherheitsforscher hat die schädliche Erweiterung jedoch dem Chrome Web Store-Team gemeldet, die wahrscheinlich bald entfernt wird.
Leider haben die Bedrohungsakteure aufgrund der Vorgeschichte wahrscheinlich einen Plan „C“ über eine andere „geparkte“ Erweiterung, die die nächste Infektionswelle erleichtern könnte.
BleepingComputer kontaktierte Google mit weiteren Fragen zur Erweiterung, aber eine Antwort war nicht sofort verfügbar.
