Un’estensione fasulla di ChatGPT per browser ha messo a rischio migliaia di account Facebook, secondo quanto riportato dai ricercatori di CybelAngel in un rapporto questa settimana.
Cosa sta succedendo
I ricercatori di CybelAngel hanno scoperto la scorsa settimana un database esposto contenente informazioni personali rubate, raccolte da un’estensione di browser contraffatta e infetta da malware di ChatGPT. CybelAngel non ha specificato quale estensione fosse la fonte, ma il rapporto afferma che era disponibile per Chrome.
Il malware “infostealer”
Attori minacciosi non identificati hanno infettato l’estensione Chrome con un malware noto come “infostealer”, che raccoglie tutti i dati memorizzati nel browser di un utente, inclusi password e informazioni sulla carta di credito, ha spiegato David Sygula, capo del team di ricerca e analisi di CybelAngel.
L’obiettivo degli attacchi
Sebbene il database contenesse oltre 4 milioni di credenziali di accesso relative a account personali e aziendali, gli aggressori sembrano aver sfruttato solo le credenziali Facebook raccolte per prendere il controllo degli account, ha rivelato Erwan Keraudy, CEO di CybelAngel.
Perché è importante
L’incidente evidenzia quanto sia facile per attori minacciosi sfruttare l’interesse per ChatGPT a fini malevoli. Esperti di sicurezza e funzionari governativi prevedono che l’intelligenza artificiale generativa renderà ancora più semplice per gli aggressori ingannare e trarre in inganno le persone.
Dettagli della campagna
Nella campagna, gli attori malevoli hanno raccolto le credenziali Facebook di 40.000 utenti e i dati di tracciamento dei cookie dei loro browser, utilizzando queste informazioni per prendere il controllo degli account. Gli aggressori cambiano password, nomi e foto degli account violati, sostituendoli con quelli di Lily Collins, la protagonista della serie Netflix “Emily in Paris”. Alcune vittime hanno condiviso informazioni sugli attacchi usando l’hashtag #LilyCollinsHack su TikTok.
Livello di minaccia
Sebbene l’estensione Chrome in questione sia stata rimossa dal Play Store, il database conteneva le credenziali di accesso per almeno 6.000 account aziendali e 7.000 account VPN. Il database è stato successivamente cancellato e tenuto in ostaggio da un altro attore minaccioso, secondo quanto riferito da Keraudy.