Bir tehdit aktörü, bu hafta başlarına kadar Google’ın resmi Chrome Mağazasında bulunan gelişmiş bir sahte Chrome ChatGPT tarayıcı uzantısı aracılığıyla, ticari hesaplar da dahil olmak üzere binlerce Facebook hesabının güvenliğini ihlal etmiş olabilir.
Guardio’nun bu hafta yaptığı bir analize göre, kötü niyetli “Chat GPT’ye Hızlı Erişim” uzantısı, kullanıcılara son derece popüler yapay zeka sohbet robotu ile etkileşim kurmanın hızlı bir yolunu vaat etti. Gerçekte, aynı zamanda gizlice tarayıcıdan çok çeşitli bilgiler topladı, tüm yetkili etkin oturumların çerezlerini çaldı ve kötü amaçlı yazılım yazarı süper yönetici izinlerini kullanıcının Facebook hesabına veren bir arka kapı kurdu.
ChatGPT tarayıcı uzantısına hızlı erişim, tehdit aktörlerinin kötü amaçlı yazılım dağıtmak ve sistemlere sızmak için ChatGPT’ye yönelik muazzam kamu ilgisinden yararlanmaya çalıştıkları birçok yoldan yalnızca bir örnektir. Bir örnek, sahte bir ChatGPT açılış sayfası kuran bir düşmandır; burada kullanıcılar kandırılarak “kaydolmak” için yalnızca Fobo adlı bir Truva Atı’nı indirirler. Diğerleri, son aylarda ChatGPT temalı kimlik avı e-postalarında keskin bir artış ve Windows ve Android kötü amaçlı yazılımlarını yaymak için sahte ChatGPT uygulamalarının kullanımının artması bildirdi.
Bir “Bot Ordusu” için Facebook İşletme Hesaplarını Hedefleme
Guardio’nun analizi, kötü niyetli tarayıcı uzantısının ChatGPT’ye söz verdiği hızlı erişimi, yalnızca sohbet robotunun API’sine bağlanarak gerçekten sağladığını gösterdi. Ancak, ek olarak, uzantı, Google, Twitter ve YouTube’a ve diğer tüm aktif hizmetlere yönelik güvenlik ve oturum belirteçleri dahil olmak üzere kullanıcının tarayıcısında depolanan tüm çerezlerin tam bir listesini de topladı.
Kullanıcının Facebook’ta etkin, kimliği doğrulanmış bir oturumu olabileceği durumlarda, uzantı Meta’nın geliştiriciler için Graph API’sine erişti. API erişimi, uzantıya, kullanıcının Facebook hesabıyla ilişkili tüm verileri toplama ve daha da kötüsü, kullanıcı adına çeşitli eylemler gerçekleştirme yeteneği verdi.
Daha da kötüsü, uzantı kodundaki bir bileşen, esasen kullanıcının hesabına hileli bir uygulama kaydederek ve Facebook’u onaylatarak kullanıcının Facebook hesabının ele geçirilmesine izin verdi.
Guardio, “Facebook ekosistemi altındaki bir uygulama, genellikle kendi özel API’sini kullanması onaylanan bir SaaS hizmetidir” dedi. Güvenlik satıcısı, bu nedenle, kullanıcının hesabına bir uygulama kaydettirerek, kurbanın Facebook hesabında şifre toplamak zorunda kalmadan veya Facebook’un iki faktörlü kimlik doğrulamasını atlamaya çalışmadan tam yönetici modu elde ettiğini yazdı.
Uzantı bir Business Facebook hesabıyla karşılaştığında, o anda aktif olan promosyonlar, kredi bakiyesi, para birimi, minimum faturalandırma eşiği ve hesabın kendisiyle ilişkilendirilmiş bir kredi olanağı olup olmadığı dahil olmak üzere o hesapla ilgili tüm bilgileri hızlı bir şekilde topladı. “Daha sonra uzantı, toplanan tüm verileri inceler, hazırlar ve her biri alaka düzeyine ve veri türüne göre aşağıdaki API çağrılarını kullanarak C2 sunucusuna geri gönderir.”
Finansal Motivasyona Sahip Bir Siber Suçlu
Guardio, tehdit aktörünün kampanyadan topladığı bilgileri muhtemelen en yüksek teklifi verene satacağını değerlendirdi. Şirket ayrıca, saldırganın, kurbanların hesaplarındaki parayı kullanarak kötü amaçlı reklamlar yayınlamak için kullanabileceği, ele geçirilmiş Facebook İşletme hesaplarından oluşan bir bot ordusu oluşturma potansiyelini de öngörüyor.
Guardio, kötü amaçlı yazılımın, API’lerine erişim isteklerini işlerken Facebook’un güvenlik önlemlerini atlamak için mekanizmalara sahip olduğunu açıkladı. Örneğin, Facebook, Meta Graph API aracılığıyla erişim izni vermeden önce, talebin kimliği doğrulanmış bir kullanıcıdan ve ayrıca güvenilir bir kaynaktan geldiğini onaylıyor, dedi Guardio. Önlemi atlatmak için tehdit aktörü, kötü amaçlı tarayıcı uzantısına, kurbanın tarayıcısından Facebook web sitesine yapılan tüm isteklerin başlıklarının değiştirilmiş ve oradan geliyormuş gibi görünmesini sağlayan bir kod ekledi.
“Bu, uzantıya, virüs bulaşmış tarayıcınızı kullanarak ve herhangi bir iz bırakmadan herhangi bir Facebook sayfasına (API çağrıları ve eylemleri yapmak dahil) serbestçe göz atma yeteneği verir.”