Academia OSINT

Los piratas informáticos usan chatgpt para secuestrar cuentas de Facebook

Los actores de amenazas están explotando la popularidad generalizada de ChatGPT de Openai desde su lanzamiento a fines del año pasado para crear versiones falsas de chatbots de inteligencia artificiales y atraer a los usuarios desprevenidos a instalarlos.

El sitio web de Dark Reading reveló que al menos 2.000 personas descargaron la extensión maliciosa de "Acceso rápido al chatgpt" de la tienda de aplicaciones de Google Play todos los días del 3 al 9 de marzo de 2023. Se cree que un atacante amenazante puede haber usado el maliciosoExtensión para comprometer miles de cuentas de Facebook, incluidas las cuentas comerciales.

La extensión maliciosa de "Acceso rápido a ChatGPT" promete a los usuarios la capacidad de interactuar rápidamente con CHATGPT, el chatbot de inteligencia artificial recientemente mega-golpeado.De hecho, sin embargo, la extensión roba subrepticiamente las cookies del navegador para todas las sesiones activas autorizadas e instala una puerta trasera que permite a los operadores de malware obtener fácilmente acceso súper administrador a la cuenta de Facebook de un usuario.

Vale la pena señalar que esta extensión es solo una de las muchas formas en que los atacantes de amenazas están utilizando ChatGPT para distribuir sistemas de malware e infiltrado.

En los últimos meses, a medida que CHATGPT continúa incendiando, los correos electrónicos de phishing con su tema han aumentado dramáticamente, y más atacantes están utilizando aplicaciones de ChatGPT falsas para distribuir Windows y Malware de Android.

Un "ejército bot" dirigido a cuentas comerciales de Facebook

La extensión de "Acceso rápido al CHATGPT" en realidad implementa un acceso rápido a CHATGPT conectando a la API de ChatBot.Pero durante el acceso, la extensión también recopila una lista de todas las cookies almacenadas en el navegador del usuario, incluidos Google, Twitter y YouTube, así como cualquier otra actividad.

Si un usuario tiene una sesión activa y autenticada en Facebook, el complemento de extensión maliciosa le da al desarrollador acceso a la API Graph de Meta.El acceso a la API permite que la extensión obtenga todos los datos relacionados con la cuenta de Facebook del usuario e incluso tome varias acciones en nombre del usuario.

Aún más desafortunadamente, un componente del código de la extensión maliciosa permite el secuestro de la cuenta de Facebook de un usuario registrando una aplicación maliciosa en la cuenta del usuario y obtener la aprobación de Facebook.En respuesta, Guardio dijo que una aplicación bajo el ecosistema de Facebook suele ser un servicio SaaS que está aprobado para usar su API particular.Por lo tanto, al registrar la aplicación en la cuenta del usuario, un atacante de amenazas puede obtener acceso administrativo completo a la cuenta de Facebook de la víctima sin tener que obtener una contraseña o intentar evitar la doble autenticación de Facebook.

Si una extensión maliciosa encuentra una cuenta de Facebook de negocios, obtiene rápidamente toda la información asociada con esa cuenta, incluidas las promociones activas actuales, saldos de crédito, monedas, umbrales de facturación mínimos y más.

ChatGPT hacker

Una campaña cibercriminal motivada financieramente

Antes de que Facebook pueda otorgar acceso a través de su API Meta Graph, primero debe confirmar que la solicitud es de un usuario autenticado y confiable.Para eludir esta precaución, los actores de amenaza agregaron código a una extensión de navegador malicioso que aseguró que todas las solicitudes enviadas desde el navegador de la víctima al sitio web de Facebook se modificaran con encabezados para que también parecieran ser confiables.Esto permitió que la extensión navegara libremente en cualquier página de Facebook (incluida la realización de llamadas y acciones de API) utilizando el navegador infectado sin dejar ningún rastrillo.

Finalmente, Guardio evaluó que los actores de amenaza pueden vender la información que cosechan de la campaña al mejor postor.Los atacantes podrían crear un ejército de bots con cuentas comerciales de Facebook secuestradas, utilizando dinero de las cuentas de las víctimas para publicar anuncios maliciosos.



Artículos relacionados:

El clima actual de las redes sociales
¿Cómo pueden los analistas de inteligencia distinguir los bots de las redes sociales de personas reales?
¿Cómo encontrar una identificación de usuario en Facebook?
¿Cómo identificar cuentas falsas de Facebook?
¿Cómo ver lo que le gusta a alguien en Facebook?