「ChatGPT へのクイック アクセス」ブラウザ拡張機能

分析の結果、「ChatGPT へのクイック アクセス」と呼ばれる偽の Chrome ブラウザー拡張機能が、ビジネス アカウントを含む何千もの Facebook アカウントを侵害するために脅威アクターによって使用されたことが明らかになりました。この拡張機能は、以前は Google の公式 Chrome ストアで入手できました。この拡張機能は、人気の AI チャットボット ChatGPT とやり取りするための便利な方法をユーザーに提供すると主張していました。しかし実際には、被害者のブラウザから幅広い情報を収集し、許可されたすべてのアクティブなセッションの Cookie を盗むように設計されています。この拡張機能は、マルウェアの作成者にユーザーの Facebook アカウントへのスーパー管理者権限を与えるバックドアもインストールしました。悪意のある拡張機能に関する詳細は、Guardio Labs の研究者によるレポートで公開されました。

「ChatGPT へのクイック アクセス」ブラウザー拡張機能の使用は、攻撃者が ChatGPT への広範な関心を悪用してマルウェアを配布し、システムに侵入しようとしている方法の一例にすぎません。偽の拡張機能の背後にいる脅威アクターは、洗練された戦術を使用してユーザーをだまして拡張機能をインストールさせました。これは、ユーザーがインターネットからブラウザー拡張機能やその他のソフトウェアをダウンロードする際に注意する必要があることを示しています。

「ChatGPT へのクイック アクセス」ブラウザ拡張機能が Facebook の機密情報を収集する

悪意のある「ChatGPT へのクイック アクセス」ブラウザ拡張機能は、約束どおり、API に接続することで ChatGPT チャットボットへのアクセスを提供しました。ただし、この拡張機能は、ユーザーのブラウザーに保存されている Cookie の完全なリストも収集しました。これには、Google、Twitter、YouTube などのさまざまなサービスのセキュリティ トークンやセッション トークン、およびその他のアクティブなサービスが含まれます。

ユーザーが Facebook でアクティブな認証セッションを行っていた場合、拡張機能は開発者向けの Graph API にアクセスし、ユーザーの Facebook アカウントに関連付けられたすべてのデータを収集できました。さらに驚くべきことに、攻撃者は、拡張コードのコンポーネントにより、被害者のアカウントに不正なアプリを登録し、Facebook に承認させることで、ユーザーの Facebook アカウントを乗っ取ることができました。

ユーザーのアカウントにアプリを登録することで、攻撃者は、パスワードを収集したり、Facebook の 2 要素認証をバイパスしたりすることなく、被害者の Facebook アカウントで完全な管理者モードを取得しました。拡張機能がビジネス Facebook アカウントに遭遇した場合、現在アクティブなプロモーション、クレジット残高、通貨、最低請求額、アカウントにクレジット機能が関連付けられているかどうかなど、そのアカウントに関連するすべての情報を収集します。拡張機能は、収集したすべてのデータを調べて準備し、関連性とデータ型に基づいて API 呼び出しを使用してコマンド アンド コントロール (C2、C&C) サーバーに送り返します。

これらの調査結果は、特に人気のあるサービスへの迅速なアクセスを約束するインターネット ユーザーがブラウザー拡張機能をインストールする際に注意する必要があることを強調しています。また、インストールされている拡張機能のリストを定期的に確認し、不要になった拡張機能や疑わしい動作をしている拡張機能を削除する必要があります。

攻撃者は、収集した情報を販売しようとする可能性があります

研究者によると、「ChatGPT へのクイック アクセス」ブラウザ拡張機能の背後にいる脅威アクターは、キャンペーンから収集した情報を最高入札者に販売する可能性が高いとのことです。あるいは、サイバー犯罪者は、ハイジャックされた Facebook ビジネス アカウントを使用してボット軍団を作成し、被害者のアカウントを使用して悪意のある広告を投稿するために使用する可能性があります。

このマルウェアには、Facebook の API へのアクセス リクエストを処理する際に、Facebook のセキュリティ対策を回避するメカニズムが備わっています。たとえば、Meta Graph API を介してアクセスを許可する前に、Facebook はまず、リクエストが認証されたユーザーと信頼できるオリジンからのものであることを確認します。この予防措置を回避するために、脅威アクターは悪意のあるブラウザー拡張機能にコードを含め、被害者のブラウザーから Facebook Web サイトへのすべてのリクエストのヘッダーを変更して、被害者のブラウザーからも発信されているように見せかけました。

これにより、この拡張機能は、API 呼び出しやアクションの実行、感染したブラウザーの使用、痕跡を残さずに Facebook ページを自由に閲覧できるようになります。拡張機能が Facebook のセキュリティ対策を簡単に回避できることは、オンライン プラットフォームがそのような悪意のある活動を検出して防止するために警戒する必要があることを強調しています。その後、悪意のある「ChatGPT へのクイック アクセス」ブラウザ拡張機能は、Google によって Chrome のストアから削除されました。