Google Chrome için kötü amaçlı, Facebook hesabını çalan ChatGPT tarayıcı uzantısının bir başka versiyonu daha ortaya çıktı ve her gün binlerce kullanıcıyı etkileyen bir kampanyanın yeni bir varyantını temsil ediyor.
tarafından keşfedilen uzantı Guardio LaboratuvarlarıGoogle 22 Mart’ta Chrome mağazasından kaldırmadan önce 9.000’den fazla indirildi.
Uzantının reklamı, OpenAI’nin en son Chat GPT4 algoritması hakkında ayrıntılar arayan kullanıcıları hedefleyen sponsorlu Google arama sonuçları aracılığıyla da yapılmıştı. Popüler üretken AI uygulaması için sponsorlu sonuçlara tıklayan kişiler, sahte bir “ChatGPT for Google” web sayfasına yönlendirildi ve ardından Chrome’un resmi mağazasındaki kötü amaçlı uzantının sayfasına yönlendirildi.
Kötü amaçlı yazılım yüklendikten sonra, Facebook hesapları için oturum çerezlerini çalmak üzere Chrome Uzantısı API’sini kullanır ve tehdit aktörlerine kurbanın Facebook hesabına tam erişim sağlar.
“Dayalı sürüm 1.16.6 açık kaynak projesinin bu FakeGPT varyantı, kurulumdan hemen sonra yalnızca belirli bir kötü amaçlı eylem gerçekleştirir ve geri kalanı temel olarak orijinal kodla aynıdır – bundan şüphelenmek için hiçbir neden bırakmaz.” Guardio Labs’ın başkanı Nati Talbir blog yazısında yazdı.
Kötü amaçlı uzantının en son sürümü, bu ayın başlarında Guardio’daki araştırmacılar tarafından keşfedilen ve Facebook Business hesaplarını ele geçirebilecek olan uzantıyı takip ediyor.
3 Mart’tan 9 Mart’a kadar, günde en az 2.000 kişi, Google Play uygulama mağazasından bu kötü niyetli “ChatGPT’ye hızlı erişim” Chrome uzantısını aldı.
Uzantı bir Facebook İşletme hesabına erişebilseydi, söz konusu hesapla ilgili devam eden promosyonlar, kullanılabilir kredi, para birimi, minimum faturalandırma eşiği ve herhangi bir bağlantılı kredi olanağı gibi ilgili tüm verileri hemen toplardı.
Kötü Amaçlı Chrome Uzantıları Büyüyen Bir Tehdit
Kötü amaçlı Chrome uzantıları, popüler tarayıcının kullanıcıları için küresel bir endişe kaynağı olmuştur. Ağustos 2022’de bir grup McAfee Labs analisti, biri video akış hizmeti Netflix’i kanca olarak kullanan, çerez doldurmayla ilgilenen beş tarayıcı uzantısının bir listesini yayınladı.
Bu uzantılar, kullanıcının göz atma etkinliğini izler ve e-ticaret web sitelerine meşru olmayan kimlikler girerek uydurma bağlı kuruluş ödemelerine neden olur.
Bu durumda uygulamalar, bulgularına göre 1,4 milyon kez indirildi.
Kasım 2022’de Zimperium zLabs’teki araştırmacılar, Chrome ve Microsoft Edge kullanıcılarını hedefleyen Cloud9 adlı “İsviçre Çakısı benzeri” kötü amaçlı bir tarayıcı uzantısını ortaya çıkardı. Saldırganların bir kullanıcının tarayıcı oturumunun kontrolünü uzaktan ele geçirmesine ve çok çeşitli saldırılar gerçekleştirmesine olanak tanır.
Zimperium raporu, Cloud9 kötü amaçlı yazılımının belirli bir grubu hedeflemediği için tüketici tehdidi olduğu kadar kurumsal bir tehdit olduğunu belirtti.
Kimsuky Kuzey Koreli Tehdit Aktörleri Chrome’u Hedef Aldı
Daha yakın zamanlarda, Alman Federal Anayasayı Koruma Dairesi (BfV) ve Güney Kore istihbarat servisi (NIS) bir siber casusluk grubu uyarısı yayınladı bunun dünya çapında devlet kurumlarını ve araştırma kuruluşlarını hedef aldığı söyleniyor.
Velvet Chollima veya Thallium olarak da bilinen Kimsuky siber suçlular grubunun Kuzey Kore merkezli olduğu düşünülüyor ve Koreler arası çatışma hakkında araştırma yapan kişileri hedef almak için kötü amaçlı Chrome tarayıcı uzantılarının yanı sıra uygulama mağazası hizmetlerini kullanıyor.
Bilgisayar korsanları sözde spear-phishing saldırıları kullanıyor. Bunlarda, hedefler e-postalar tarafından, meşru gibi görünen veya manipüle edilmiş bir tarayıcı uzantısı yüklemeleri için kandırılan tanınmış web sitelerinin sahte sürümlerine yönlendirilir.
Bu süreçte, oturum açma verileri ve diğer kişisel bilgiler saldırganlar tarafından ele geçirilebilir. Bilgisayar korsanları tarafından kullanılan bir diğer yöntem de Google Play uygulama mağazası aracılığıyla Android akıllı telefonlara fark edilmeden kötü amaçlı yazılım yüklemektir.