Une version cheval de Troie de l’extension légitime ChatGPT pour Chrome gagne en popularité sur le Chrome Web Store, accumulant plus de 9 000 téléchargements tout en volant des comptes Facebook.
L’extension est une copie du module complémentaire populaire légitime pour Chrome nommé « ChatGPT pour Google » qui offre l’intégration ChatGPT sur les résultats de recherche. Cependant, cette version malveillante inclut un code supplémentaire qui tente de voler les cookies de session Facebook.
L’éditeur de l’extension l’a téléchargée sur le Chrome Web Store le 14 février 2023, mais n’a commencé à en faire la promotion qu’à partir du 14 mars 2023 à l’aide des publicités de la recherche Google. Depuis lors, elle a enregistré en moyenne un millier d’installations par jour.
Le chercheur qui l’a découvert, Nati Tal de Guardio Labs, rapporte que l’extension communique avec la même infrastructure utilisée plus tôt ce mois-ci par un module complémentaire Chrome similaire qui a amassé 4 000 installations avant que Google ne le supprime du Chrome Web Store.
Par conséquent, cette nouvelle variante est considérée comme faisant partie de la même campagne, que les opérateurs ont conservée en tant que sauvegarde sur le Chrome Web Store lorsque la première extension serait signalée et supprimée.
Ciblage des comptes Facebook
L’extension malveillante est promue via des publicités dans les résultats de recherche Google, qui sont mises en évidence lors de la recherche de « Chat GPT 4 ».
En cliquant sur les résultats de recherche sponsorisés, les utilisateurs accèdent à une fausse page de destination « ChatGPT pour Google », et à partir de là, à la page de l’extension sur la boutique officielle des modules complémentaires de Chrome.
Une fois que la victime a installé l’extension, elle obtient la fonctionnalité promise (intégration ChatGPT sur les résultats de recherche) puisque le code de l’extension légitime est toujours présent. Cependant, le module complémentaire malveillant tente également de voler les cookies de session pour les comptes Facebook.
Lors de l’installation de l’extension, un code malveillant utilise la fonction de gestionnaire OnInstalled pour voler les cookies de session Facebook.
Ces cookies volés permettent aux acteurs de la menace de se connecter à un compte Facebook en tant qu’utilisateur et d’avoir un accès complet à leurs profils, y compris toutes les fonctionnalités de publicité commerciale.
Le malware abuse de l’API d’extension Chrome pour acquérir une liste de cookies liés à Facebook et les crypte à l’aide d’une clé AES. Il exfiltre ensuite les données volées via une requête GET au serveur de l’attaquant.
« La liste des cookies est cryptée avec AES et attachée à la valeur d’en-tête HTTP X-Cached-Key », explique le rapport de Guardio Labs.
« Cette technique est utilisée ici pour essayer de faire sortir les cookies sans qu’aucun mécanisme DPI (Deep Packet Inspection) ne déclenche des alertes sur la charge utile des paquets. »
Les acteurs de la menace décryptent ensuite les cookies volés pour détourner les sessions Facebook de leurs victimes pour des campagnes de publicité malveillante ou pour promouvoir du matériel interdit comme la propagande de l’Etat islamique.
Le logiciel malveillant modifie automatiquement les informations de connexion sur les comptes piratés pour empêcher les victimes de reprendre le contrôle de leurs comptes Facebook. Il remplace également le nom et l’image du profil par un faux personnage nommé « Lilly Collins ».
À l’heure actuelle, l’extension Google Chrome malveillante est toujours présente dans le Google Chrome Web Store.
Cependant, le chercheur en sécurité a signalé l’extension malveillante à l’équipe du Chrome Web Store, qui sera probablement bientôt supprimée.
Malheureusement, sur la base des antécédents, les acteurs de la menace ont probablement un plan « C » via une autre extension « garée » qui pourrait faciliter la prochaine vague d’infection.
Breachtarce a contacté Google avec d’autres questions sur l’extension, mais une réponse n’était pas immédiatement disponible.