Rogue ChatGPT新变种FakeGPT通过谷歌商店传播

用于 Chrome 的合法 ChatGPT 扩展程序的受污染版本已被下载数以千计，旨在窃取 Facebook 帐户。

Guardio的安全团队发现了恶意Chat-GPT Chrome扩展程序的新变种，该扩展程序每天的下载量已达数千人。

最近一次活动中使用的版本基于一个合法的开源项目，威胁行为者添加了恶意代码来窃取 Facebook 帐户。

合法的扩展名为“ChatGPT for Google”，允许在搜索结果中集成ChatGPT。

新的恶意Chrome扩展程序自2023年3月14日起通过赞助的Google搜索结果分发并上传到官方Chrome商店。专家注意到，它于2023年2月14日首次上传到Chrome网上应用店。

据研究人员称，它能够窃取Facebook会话cookie并大量破坏帐户。

“FakeGPT Chrome扩展程序的新变体，名为“Chat GPT For Google”，在为您的浏览器集成 ChatGPT 的掩护下，再次以您的Facebook帐户为目标。”“这一次，威胁行为者不必在这个以ChatGPT为主题的恶意扩展的外观和感觉上努力工作——他们只是分叉并编辑了一个众所周知的开源项目，而这正是这样做的。从零到“英雄”可能不到 2 分钟。”

搜索“Chat GPT 4”的网民因为有兴趣测试最新版本的流行聊天机器人的新算法，最终点击了赞助搜索结果。该链接将受害者重定向到一个登陆页面，该页面提供来自官方Chrome商店的ChatGPT扩展程序。该扩展程序将使用户能够从搜索结果中访问ChatGPT，但也会危及他们的Facebook帐户。

一旦受害者安装了扩展程序，恶意代码就会使用OnInstalled处理函数来窃取Facebook会话cookie。然后攻击者使用窃取的cookie登录受害者的Facebook帐户并接管它。

恶意代码使用Chrome Extension API收集Facebook使用的cookie列表，并使用密钥“chatgpt4google”使用 AES 对其进行加密。

收集到的cookie通过GET请求发送到攻击者的服务器。

“cookie列表使用AES加密并附加到X-Cached-Key HTTP标头值。这里使用这种技术来尝试在没有任何DPI（深度数据包检测）机制的情况下偷偷取出cookie，从而对数据包有效负载发出警报（这也是它被加密的原因）。”“只注意HTTP协议中没有X-Cached-Key Header！有一个 X-Cache-Key 标头（没有’d’）用于响应，而不是请求。”

Guardio研究人员向谷歌报告了他们的发现，谷歌迅速从Chrome商店中删除了该扩展程序。在删除时，该恶意扩展程序已被9000多名用户安装。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5279.html