Google Chrome için meşru ChatGPT uzantısının trojenleştirilmiş bir sürümü nedeniyle binlerce Facebook hesabı çalındı. ChatGPT uzantısının truva atı haline getirilmiş sürümü, 9.000’den fazla indirme ile popülerlik kazanmayı başardı.
Siber suçlular, kusursuz arama sonuçları entegrasyonu sağlayan orijinal “ChatGPT for Google” Chrome uzantısını kopyaladı.
Kötü amaçlı sürüm, Facebook oturum tanımlama bilgilerinin yanı sıra, bunları Facebook’tan çalmak için ek koda sahiptir.
Bu uzantı, yayıncı tarafından 14 Şubat 2023 tarihinde yayınlandı ve Chrome Web Mağazası kullanıcılarının kullanımına sunuldu. Ancak yayıncı, Google Arama reklamlarını kullandığı 14 Mart 2023 tarihine kadar başlığın tanıtımını yapmadı.
Facebook’ta kötü amaçlı reklamcılık
Uzantının, önceki ana sürümle aynı altyapıyla iletişim kurduğu bulundu. Aynı Chrome eklentisi, 4.000 yüklemenin ardından bu ayın başlarında Chrome Web Mağazası’ndan kaldırıldı.
Operatörler, aynı kampanyanın bir parçası olarak bu yeni varyantın bir yedeğini Chrome Web Mağazası’nda tuttu. Kısacası, ilki bildirilir ve kaldırılırsa, bu yedek proxy olarak kullanılacaktır.
Google Arama sonuçlarında Chat GPT 4’ü aradığınızda, kötü amaçlı uzantıya eşlik eden birkaç reklamın arama sonuçlarında belirgin bir şekilde görüntülendiğini fark edeceksiniz. Kısacası, tehdit aktörleri, uzantıyı Google Ads aracılığıyla aktif olarak tanıtmaktadır.
Kullanıcılar, aslında “ChatGPT for Google” için sahte açılış sayfaları olan sponsorlu arama sonuçlarını tıklayarak Chrome için resmi eklenti mağazasına erişebilirler.
Kurban uzantıyı yüklediğinde, meşru uzantının kodu hala bozulmamış olduğundan, kurban kendilerine vaat edilen işlevselliği elde edeceğini not etmek önemlidir.
Kötü niyetli aktör, çalınan verilerinize erişim sağladıktan sonra, muhtemelen onu en yüksek teklifi verene satacaktır.
Ancak, çalışma tarzlarını daha yakından incelediğimizde, genel profili daha yüksek olan Facebook işletme hesaplarına karşı daha fazla dikkat gösterdiklerini keşfettik.
Bir tehdit aktörü, bu çalınan tanımlama bilgilerini, kullanıcının adıyla bir Facebook hesabına giriş yapmak ve kullanıcının profiline ve işletme için mevcut olabilecek tüm reklam özelliklerine tam erişim elde etmek için kullanabilir.
Burada, kötü amaçlı yazılım tarafından bir Chrome Uzantı API’sı kullanılarak Facebook ile ilgili tanımlama bilgilerinin bir listesi alınır ve ardından bunlar bir AES anahtarı kullanılarak şifrelenir ve güvenli bir kanal aracılığıyla kötü amaçlı yazılıma gönderilir.
Çalınan bilgileri güvence altına aldıktan sonra, bir GET isteği kullanarak saldırganın sunucusuna gönderir.
Çalınan çerezlerin şifresi çözüldükten sonra, tehdit aktörleri onları kötü amaçlı reklam kampanyaları yürütmek veya IŞİD propagandası gibi yasaklanmış materyalleri tanıtmak için kurbanlarının Facebook oturumlarını ele geçirmek için kullanır.
Kurbanların Facebook hesaplarının kontrolünü yeniden ele geçirmelerini önlemek için kötü amaçlı yazılım, ihlal edilen hesaplardaki oturum açma bilgilerini otomatik olarak değiştirir, böylece gelecekte hesaplarına erişemezler.
Bu uzantı, piyasaya sunulduğundan bu yana, günde 2000’den fazla yüklenen dünya çapındaki kullanıcılar arasında büyük bir popülerlik kazandı.
Google Chrome’a yönelik bu kötü amaçlı uzantı, Google Chrome Web Mağazası’nda hâlâ mevcuttur ve kaldırılması gerekmektedir. Buna rağmen, Chrome Web Mağazası ekibi kötü amaçlı uzantı konusunda uyarıldı ve kısa süre içinde kaldırılması bekleniyor.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin
İlgili Kapsam: