Dark Reading 網站披露， 3 月 3 日- 3 月 9 日，每天至少有 2000 人從 Google Play 應用商店下載"快速訪問 ChatGPT“ 的 Chrome 惡意擴展。據悉，一名威脅攻擊者可能利用該惡意擴展泄露包括商業(yè)賬戶在內的數千個 Facebook 賬戶。

從 Guardio 的分析結果來看，惡意 "快速訪問 Chat GPT "的擴展程序承諾用戶可以快速與近期大火的人工智能聊天機器人 Chat GPT 進行互動。然而事實上，該擴展程序偷偷地從瀏覽器中竊取所有授權活動會話的 cookies，并安裝了一個后門，使惡意軟件運營者能夠輕松獲得用戶 Facebook 賬戶的超級管理員權限。

值得注意的是，"快速訪問 Chat GPT "擴展程序僅僅是威脅攻擊者利用 ChatGPT 大火來分發(fā)惡意軟件和滲透系統(tǒng)的眾多方式之一。

近幾個月，隨著 ChatGPT 持續(xù)火爆，以其主題的釣魚電子郵件急劇增加，越來越多的攻擊者使用假冒的 ChatGPT 應用程序傳播 Windows 和 Android 惡意軟件。

以 Facebook 商業(yè)賬戶為目標的 ”僵尸軍團“

"快速訪問 Chat GPT "的擴展程序實際上是通過連接聊天機器人的 API 實現了對 ChatGPT 的快速訪問，但在訪問過程中，該擴展還收集了用戶瀏覽器中存儲的包括谷歌、Twitter 和 YouTube 以及任何其它活動在內的所有 cookie 列表。

如果某個用戶在 Facebook 上有一個活動、經過驗證的會話，則惡意擴展插件為開發(fā)人員訪問 Meta 的 Graph API。API 訪問使擴展能夠獲取與用戶 Facebook 帳戶相關的所有數據，甚至可以代表用戶采取各種行動。

更不幸的是，惡意擴展代碼中的一個組件允許劫持用戶的 Facebook 帳戶，其方法是在用戶帳戶上注冊一個惡意應用程序，并獲得 Facebook 的批準。對此 Guardio 表示，Facebook 生態(tài)系統(tǒng)下的應用程序通常是一個 SaaS 服務，它被批準使用其特殊的 API。因此，通過在用戶帳戶中注冊應用程序，威脅攻擊者可以在受害者的 Facebook 帳戶上獲得完全管理模式，而無需獲取密碼或嘗試繞過 Facebook 的雙重身份驗證。

如果惡意擴展遇到了一個 商業(yè) Facebook 帳戶，它會快速獲取與該帳戶相關的所有信息，包括當前活動的促銷活動、信用余額、貨幣、最低計費閾值等。

一個有經濟動機的網絡罪犯

在 Facebook 通過其 Meta Graph API 授予訪問權之前，首先必須確認該請求是來自一個經過認證的可信用戶，為了規(guī)避這一預防措施，威脅者在惡意的瀏覽器擴展中加入了代碼，確保從受害者的瀏覽器向Facebook 網站發(fā)出的所有請求都被修改了標題，以便它們看起來也是可信的，這使得該擴展能夠使用受感染的瀏覽器自由地瀏覽任何 Facebook 頁面（包括進行 API 調用和操作），而不留下任何痕跡。

最后，Guardio 評估后表示，威脅行為者可能會將其從活動中收獲的信息賣給出價最高的人，該公司還預計攻擊者有可能創(chuàng)建一個被劫持的 Facebook商業(yè)賬戶的機器人大軍，利用受害者賬戶的錢來發(fā)布惡意廣告。

參考文章：

https://www.darkreading.com/application-security/chatgpt-browser-extension-hijacks-facebook-business-accounts