23/03/2023    

BOLETÍN NRO 2023-193

El editor de la extensión la subió a la Chrome Web Store el 14 de febrero de 2023, pero no empezó a promocionarla mediante anuncios de Google Search hasta el 14 de marzo de 2023.

El investigador que lo descubrió informa de que la extensión se comunica con la misma infraestructura utilizada a principios de este mes por otro complemento de Chrome que también suplantaba a ChatGPT.

Por lo tanto, esta nueva variante se considera parte de la misma campaña, que los operadores mantuvieron como copia de seguridad en la Chrome Web Store para cuando la primera extensión fuera denunciada y eliminada.

Una vez que la víctima instala la extensión, obtiene la funcionalidad prometida (integración de ChatGPT en los resultados de búsqueda), ya que el código de la extensión legítima sigue presente.

Tras la instalación de la extensión, el código malicioso utiliza la función OnInstalled handler para robar las cookies de sesión de Facebook. Estas cookies robadas permiten a los ciberdelincuentes iniciar sesión en una cuenta de Facebook como el usuario y obtener acceso completo a sus perfiles, incluidas las funciones de publicidad empresarial.

El malware abusa de la API de extensión de Chrome para obtener una lista de cookies relacionadas con Facebook y las cifra mediante una clave AES. A continuación, extrae los datos robados a través de una solicitud GET al servidor del atacante.

Los atacantes descifran las cookies robadas para secuestrar las sesiones de Facebook de sus víctimas para campañas de malvertising o para promocionar material prohibido.

Además, el malware cambia automáticamente los datos de acceso de las cuentas infectadas para impedir que las víctimas recuperen el control de sus cuentas de Facebook. También cambia el nombre y la foto del perfil.

Indicadores de Compromiso

Dominio

chatgpt[.]google

lumtest[.]com

api2[.]openai-service[.]workers[.]dev

df3233[.]workers[.]dev

graph[.]facebook[.]com

openai-service[.]workers[.]dev

www[.]facebook[.]com

xfks[.]workers[.]dev

URL

hxxp[:]//api2[.]openai-service[.]workers[.]dev/api/add-ads-manager

hxxp[:]//api2[.]openai-service[.]workers[.]dev/api/add-business-manager

hxxp[:]//api2[.]openai-service[.]workers[.]dev/api/add-data-account

hxxp[:]//api2[.]openai-service[.]workers[.]dev/api/add-pages

hxxp[:]//api2[.]openai-service[.]workers[.]dev/api/update-data-login-account

hxxp[:]//graph[.]facebook[.]com/ads/adbuilder

hxxp[:]//graph[.]facebook[.]com/auth/create_session_for_app

hxxp[:]//graph[.]facebook[.]com/graphql

hxxp[:]//graph[.]facebook[.]com/me/?fields=id

hxxp[:]//graph[.]facebook[.]com/v12[.]0/me/adaccounts

hxxp[:]//graph[.]facebook[.]com/v12[.]0/me/business/adaccount/limits

hxxp[:]//graph[.]facebook[.]com/v12[.]0/me/businesses

hxxp[:]//graph[.]facebook[.]com/v12[.]0/v14[.]0/act_

hxxp[:]//graph[.]facebook[.]com/v13[.]0/me/facebook_pages

hxxp[:]//graph[.]facebook[.]com/v2[.]6/device/login

hxxp[:]//graph[.]facebook[.]com/v2[.]6/device/login_status

hxxps[:]//lumtest[.]com/myip[.]json

hxxps[:]//www[.]facebook[.]com/chatgpt[.]google/

hxxps[:]//www[.]facebook[.]com/chatgpt[.]google/videos/719341863011965/

hxxp[:]//www[.]facebook[.]com/ajax/bootloader-endpoint/?modules=AdsLWIDescribeCustomersContainer[.]react

hxxp[:]//www[.]facebook[.]com/ajax/oauth/device[.]php

hxxp[:]//www[.]facebook[.]com/api/graphql/

hxxp[:]//www[.]facebook[.]com/dialog/oauth

hxxp[:]//www[.]facebook[.]com/oauth/device/authorize

hxxp[:]//www[.]facebook[.]com/v2[.]0/dialog/oauth/confirm/