Una recente campagna criminale utilizza la popolarità attuale di ChatGPT per fare nuove vittime tramite un’estensione fasulla del browser Google Chrome. La scoperta risale al 3 marzo 2023 ed è stata rilevata da un’estensione presente all’interno dello store ufficiale per browser Chrome.
Indice degli argomenti
Estensione ChatGPT per browser Chrome fake
I ricercatori di Guario Labs hanno rilevato la campagna malevola durante la loro quotidiana attività di monitoraggio sugli abusi del marchio ChatGPT. Infatti, da alcuni mesi, coincidenti proprio con l’enorme successo mediatico ricevuto dall’applicazione AI a livello internazionale, le campagne phishing, malware e truffe più o meno sofisticate a tema ChatGPT, sono diventate pane quotidiano per operatori criminali. Un chiaro pericolo per tutti gli utenti.
L’estensione “Quick Access to ChatGPT” viene sponsorizzata con campagne marketing all’interno di Facebook, con la caratteristica primaria di guidare l’utente verso l’utilizzo della famosa applicazione di OpenAI e imparare ad utilizzare lo strumento direttamente dal proprio browser, facilitandone l’avvio.
In realtà però è emerso che, oltre a collegarsi realmente alle API di OpenAI, quindi permettendo di fatto l’accesso al bot di ChatGPT, l’estensione del browser Chrome cattura anche una moltitudine di dati personali dell’utente inviandoli al server C2 (comando e controllo) appositamente predisposto dall’attore criminale “api2[.]openai-service[.]workers[.]dev”.
Tra le funzioni di questa estensione, infatti, ha catturato l’attenzione dei ricercatori soprattutto quella relativa al furto dei cookie delle sessioni attive autorizzate a qualsiasi servizio che l’utente ha in quel momento sul browser e impiega anche tattiche su misura per prendere il controllo del proprio account Facebook.
In figura, come appare l’estensione in fase di avvio (fonte: Guard.io).
La parte più preoccupante dell’estensione fasulla per ChatGPT da browser è proprio l’utilizzo delle API per i servizi autenticati. È fatto noto, infatti, che la maggior parte degli utenti abbiano, in un dato momento della giornata, sessioni attive dei servizi di utilizzo quotidiano, benché in quel dato momento non lo stiano adoperando. Così è, ad esempio, per Facebook.
Il codice malevolo fa appunto collegamento diretto con le API di Facebook utilizzando proprio i dati di sessione catturati dal browser e da questi associa una app di Facebook malevola, al fine di poterne sfruttare tutti i, moltissimi, permessi possibili.
Grazie a questi permessi la “app, che per qualche motivo è effettivamente approvata da Facebook e funzionante, sembra richiedere tutti i permessi disponibili”, affermano i ricercatori. Pieno controllo del profilo, registro attività Facebook, poteri di amministratore su tutti i gruppi, pagine, aziende e, naturalmente, account pubblicitari gestiti da quell’account. Esiste inoltre il pericolo di un controllo sugli account Instagram e WhatsApp collegati all’account.
Come difendersi da questa nuova truffa
A partire dal 9 marzo, grazie al risultato condiviso di questa ricerca di Guardio Labs, la policy dello store di Google Chrome ha eliminato il supporto e diffusione dell’estensione incriminata. Tuttavia il successo nei confronti di ChatGPT ha portato fino a quel giorno, 2.000 nuovi downloads ogni giorno, verso questa estensione.
Bisogna dunque prestare massima attenzione a fattori molto diffusi come quelli legati al momento dell’intelligenza artificiale, con applicazioni di terze parti. Da un abuso di un marchio noto, può nascere il controllo totale della nostra macchina, regalandone il contenuto, talvolta sensibile, a potenziali criminali.
