当红的ChatGPT持续遭到黑客利用,安全企业Guardio在上周披露了一款名为“Quick access to ChatGPT”的Chrome扩展组件,它同时滥用了ChatGPT、Google与Facebook的合法API,其中一个主要目的是为了挟持并接管脸书用户的账号,特别是存有广告额度的脸书企业账号。
Guardio是在今年的3月3日侦测到该变种的恶意ChatGPT扩展组件,发现每天都有超过2,000名用户安装该扩展组件,且每一名受害者的脸书账号都遭窃,无一幸免。Google则是在收到Guardio的通知后,于3月9日将它自Chrome Web Store下架。
黑客是先在脸书上刊登广告,吹嘘只要安装了“Quick access to ChatGPT”就能直接于浏览器及Google搜索中使用ChatGPT,例如当用户于Google搜索框输入问题时,结果页的右边即会出现另一个窗口,展示源自ChatGPT的答案。
图片来源/Guardio
然而,该已集成至Chrome浏览器的扩展组件,却可于背景窃取所有受害者正使用服务的已授权对话Cookie,还能采用量身打造的策略来接管受害者的脸书账号。
因为在它堂而皇之地登上Chrome Web Store并安装在受害者的Chrome浏览器之后,即可合法调用各种Chrome与脸书API,访问受害者各种服务的所有Cookie,包含安全与对话令牌,从YouTube、Google、Twitter到脸书不等,倘若受害者恰巧拥有脸书的企业账号,那么它还会搜集受害者目前正在进行的脸书推广活动及广告余额,并将所有的资料发送至黑客所掌控的C2服务器。
黑客对脸书企业账号特别感兴趣,只是所使用的恶意模块并非企图以对话令牌绕过2FA或是取得账号密码,而是借由恶意的脸书应用程序来接管受害者的脸书账号。
Guardio说明,脸书生态体系中的应用程序通常是个获准使用特殊API的SaaS服务,以让第三方服务能够取得账号资讯并代替用户进行操作,恶意模块即滥用ChatGPT的跳出窗口,代替用户发送请求至脸书服务器,而且把于账号中注册应用程序的过程完全自动化,进而得到完整的管理模式。
其中一个已经被脸书批准的恶意应用程序几乎请求了所有的权限,得以让黑客控制受害者的脸书文件,拥有所有社团、粉丝页及广告账号的管理权限,甚至能够控制该脸书账号与WhatsApp及Instagram账号的连接。
在取得了受害者的脸书企业账号之后,黑客即可利用这些账号的资源,再于脸书上展开“Quick access to ChatGPT”恶意扩展组件的广告活动。
Guardio指出,“Quick access to ChatGPT”不仅登上了Chrome的官方商店,还滥用了理应触发脸书政策的应用程序API,更更谈不上这类的恶意广告很容易得到脸书的批准;此外,Google也依旧放任搜索结果中的恶意广告,让YouTube频道被挟持以推广加密货币诈骗,脸书也持续允许那些模仿脸书自家程序且请求大量权限的仿冒程序。
Guardio奉劝用户不要再盲目信任这些大品牌,不要点击第一个搜索结果,也不要点击不确定幕后推手的广告连接与贴文。