Google недавно удалил из интернет-магазина Chrome расширение, которое маскировалось под популярную нейросеть ChatGPT. Как сообщается, расширение использовалось злоумышленниками для сбора сеансовых cookie-файлов социальной сети Facebook и последующего захвата учетных записей пользователей. Начиная с 14 марта 2023 года и вплоть до момента удаления, троянское расширение было установлено более 9 тысяч раз.
По словам исследователя компании Guardio Labs, данное зловредное ПО распространялось через вредоносные рекламные объявления в поисковой системе Google, которые и направляли ничего не подозревающих пользователей на страницу с фейковым расширением.
Для отвода глаз поддельное расширение выполняло обещанные функции, но также незаметно похищало cookie-файлы жертв, связанные с Facebook, и передавало их на удалённый сервер злоумышленников в зашифрованном виде. Затем хакеры захватывали контроль над учётной записью Facebook с целью изменить данные аккаунта (пароль, имя и аватар), чтобы использовать профиль для распространения экстремистской пропаганды.
Схема атаки, раскрытой Guardio Labs
Это уже не первое поддельное расширение в интернет-магазине Chrome, эксплуатирующее популярность ChatGPT. До этого киберпреступники использовали для распространения вредоноса поддельную рекламу в социальных сетях. Результаты исследования в очередной раз доказывают, что злоумышленники способны быстро адаптировать свои вредоносные кампании для охвата как можно большей аудитории.
* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.