Una versione trojanizzata dell’estensione “ChatGPT for Google“, un legittimo componente aggiuntivo del browser Chrome, avrebbe attirato oltre 7.000 installazioni dal 14 marzo 2023, prima che venisse rimossa. Il fatto individuato sarebbe un esempio di come i criminali informatici siano in grado di adattare rapidamente le loro campagne per distribuire malware e allestire attacchi sfruttando in questo caso la popolarità di ChatGPT, il chatbot AI di OpenAI.
Come avviene l’attacco
Secondo il rapporto stilato da Guardio Labs sarebbero dei risultati di ricerca di Google sponsorizzati malevoli a reindirizzare gli utenti ignari (che cercano la parola chiave “Chat GPT-4”) verso pagine di landing fraudolente che puntano alla falsa estensione.
Una volta installata, l’estensione oltre ad aggiungere la funzionalità legittima ovvero l’integrazione della risposta ChatGPT ai motori di ricerca, attiverebbe anche furtivamente la capacità di carpire i cookie relativi a Facebook ed esfiltrarli su un server remoto e presidiato.
“Basata sulla versione 1.16.6 del progetto open source, questa variante FakeGPT esegue solo un’azione malevola specifica, subito dopo l’installazione, e il resto è sostanzialmente uguale al codice originale, senza lasciare motivi di sospetto“, si legge nel rapporto.
Attraverso un algoritmo di Cookie-Hijacking, i cookie relativi a Facebook vengono, in tal modo, esfiltrati dall’elenco completo acquisito con l’estensione API di Chrome, crittografati con AES e inviati con una richiesta GET al server C2 ospitato sul servizio “workers.dev”.
Ovviamente una volta in possesso dei cookie della vittima, gli attaccanti prendono il controllo del suo account Facebook e potrebbero cambiare password, modificare il nome e l’immagine del profilo e usarli per diffondere false notizie e campagne di propaganda.
Correre subito ai ripari
“Poche ore dopo la segnalazione [22.03.2023] di Guardio a Google, l’estensione è stata rimossa dallo store di Chrome. Al momento della rimozione, è stato dichiarato che oltre 9000 utenti lo avevano installato“, commenta Nati Tal ricercatore di Guardio Labs.
Agli utenti che avessero installato negli ultimi tempi l’estensione “ChatGTP for Google” si raccomanda pertanto di verificare al più presto la legittimità dello sviluppatore ed in caso negativo procedere alla rimozione della FakeGPT.
