Uma campanha cibercriminosa está utilizando uma versão falsa da extensão do ChatGPT para o Google Chrome como forma de roubar informações de acesso ao Facebook. O plugin perigoso é uma versão manipulada do oficial e foi publicado na própria loja do navegador, chegando a acumular mais de 9 mil usuários antes de ser retirada do ar após denúncias de usuários e da imprensa internacional.
A partir de anúncios fraudulentos e sites falsos com técnicas de otimização para buscas, os bandidos promoviam a extensão “ChatGPT for Google”, que se passava pela oficial. É a partir de um plugin do Chrome que a gigante integrou o ChatGPT ao seu motor de pesquisas, com a versão maliciosa tendo sido lançada em fevereiro e permanecendo no ar por mais de um mês antes de ser localizada, de acordo com os pesquisadores em segurança da Guardio Labs, responsáveis pela descoberta da campanha.
Nesse período, o malware efetivamente fazia o que prometia, já que continha toda a solução original, junto com códigos que roubavam cookies de sessão no Facebook. Assim, era possível aos atacantes ultrapassar verificações em duas etapas e outras medidas de proteção, enquanto tinham acesso direto a perfis, contas de anúncios, páginas e demais recursos que poderiam possibilitar golpes e uma divulgação adicional para o malware.
/i712620.jpeg)
Além de promover a praga em si, as contas roubadas também eram usadas para disseminar discurso de ódio, propaganda política e temas banidos do Facebook, como aqueles relacionados ao grupo terrorista ISIS. Apesar de usarem criptografia para tornar os pacotes com informações mais difíceis de serem rastreados, eles não parecem se importar muito com a descoberta, mudando senhas e desativando medidas de proteção assim que ganham acesso a um perfil fraudado.
De acordo com a Guardio Labs, ainda, a praga citada no relatório é a segunda variação de uma mesma campanha. Antes da descoberta desta versão, uma outra acumulou mais de quatro mil downloads antes de ser retirada do ar, com o ataque descrito no relatório servindo como um “backup” para a edição original, acabando por se tornar bem melhor sucedida que a anterior.
/i712632.jpeg)
Em comunicado, o Google afirmou ter analisado anúncios fraudulentos e também extensões reportadas pelos pesquisadores, removendo todas as entradas irregulares do ar. A empresa também disse que não tolera propagandas que promovam técnicas maliciosas como o phishing em suas plataformas.
Mesmo com a remoção, os usuários que fizeram a instalação da versão maliciosa ainda podem estar com a praga rodando em seus computadores. A recomendação é de atenção no download de aplicativos assim, que sempre devem ser feitos a partir de lojas oficiais e contas legítimas de desenvolvedores. Prestar atenção em comentários, totais de downloads e outras opções disponíveis pelos mesmos responsáveis são bons caminhos para diferenciar os perfis verdadeiros daqueles que tentam se passar por eles.
Fonte: Canaltech
