Más de 9000 personas descargaron una versión troyanizada de la extensión legítima de Chrome ChatGPT, que roba cuentas de Facebook, de Chrome Web Store.
La extensión es una copia de la popular extensión de Chrome llamada “ChatGPT para Google” que ofrece integración con ChatGPT en los resultados de búsqueda y tiene más de un millón de instalaciones. La versión maliciosa tiene un código adicional que se encarga de robar las cookies de la sesión de Facebook del usuario.
La extensión que descubrió Nati Tal, investigadora de Guardio Labs, fue lanzado en Chrome Web Store el 14 de febrero de este año. Sin embargo, su autor comenzó a promocionarlo a través de los anuncios de búsqueda de Google solo el 14 de marzo y, desde entonces, esta extensión de Chrome ha tenido alrededor de 1000 instalaciones por día.
Tal, quien informó a Google sobre su descubrimiento, dice que la extensión se comunica con la misma infraestructura que el una extensión similar para Chrome que se detectó a principios de mes y tenía más de 4000 instalaciones cuando Google lo eliminó de su tienda. Por lo tanto, Tal cree que esta extensión es parte de la misma campaña, y que quienes están detrás de ella la mantuvieron como respaldo en caso de que su primera extensión fuera descubierta y eliminada de Chrome Web Store.
La extensión se anuncia a través de anuncios en los resultados de búsqueda que aparecen al buscar “Chat GPT 4”. Estos anuncios pagados llevan a los usuarios a una página falsa de “ChatGPT para Google”, y de allí a la página de complementos en la tienda web oficial de Chrome.
Después de la instalación, la extensión hace lo que se espera de ella: integración de ChatGPT en los resultados de búsqueda, pero también intenta robar cookies de sesión para cuentas de Facebook.
Las cookies robadas permiten a los atacantes iniciar sesión en las cuentas de Facebook de las víctimas y obtener acceso completo a sus perfiles, incluidas las funciones publicitarias con fines comerciales.
El malware abusa de la API de extensión de Chrome para acceder a las cookies de Facebook, que cifra con una clave AES. Los datos robados luego se envían al servidor del atacante. Luego, los atacantes descifran las cookies robadas para secuestrar las cuentas de Facebook de las víctimas, que luego utilizan para campañas publicitarias maliciosas o distribución de material de propaganda prohibido.
El malware cambia automáticamente la información de inicio de sesión de las cuentas de Facebook comprometidas para evitar que las víctimas recuperen el control de ellas. El nombre y la imagen de perfil se reemplazan con el nombre y la imagen de una persona llamada “Lilly Collins” que no existe.
Google ya ha eliminado esta extensión de Chrome Web Store, pero no cabe duda de que los atacantes tienen un plan B y que su nueva extensión podría aparecer pronto.
Foto de cubierta: Laboratorios Guardio
Source: Informacija.rs by www.informacija.rs.
*The article has been translated based on the content of Informacija.rs by www.informacija.rs. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!
*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.
*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!
