Una versión troyanizada de la extensión ChatGPT para Chrome que roba cuentas de Facebook acumula ya más de 9.000 descargas en la Chrome Web Store, acumulando más de 9000 descargas.

La extensión es una copia del popular complemento legítimo para Chrome «ChatGPT para Google» que ofrece integración de ChatGPT en los resultados de búsqueda. Sin embargo, esta versión maliciosa incluye código adicional que intenta robar las cookies de las sesiones de Facebook.

El editor de la extensión la subió a la Chrome Web Store el pasado 14 de febrero, pero no ha empezado a promocionarla mediante anuncios en búsquedas de Google hasta un mes más tarde. Desde entonces, ha tenido una media de mil descargas diarias.

El investigador de Guardio Labs, Nati Tal, ha descubierto esta extensión maliciosa. Según apunta, está relacionada con la misma infraestructura utilizada a principios de este mes por un complemento de Chrome similar que tuvo 4.000 descargas antes de que Google lo eliminara de la Chrome Web Store.

Por lo tanto, esta nueva variante se considera parte de la misma campaña en la que los delincuentes han utilizado la Chrome Web Store como respaldo para cuando se descubriera y eliminara la primera extensión.

Orientación a cuentas de Facebook

La extensión maliciosa se promociona a través de anuncios en los resultados de búsqueda de Google, que aparecen destacados cuando se busca «Chat GPT 4».

Al hacer clic en los resultados de búsqueda patrocinados, los usuarios acceden a una página de inicio falsa de «ChatGPT para Google» y, desde allí, a la página de la extensión en la tienda oficial de complementos de Chrome.

Una vez que la víctima instala la extensión, consigue la funcionalidad prometida, esto es, la integración de ChatGPT en los resultados de búsqueda. Sin embargo, el complemento malicioso también intenta robar cookies de la sesión para cuentas de Facebook.

Tras la instalación de la extensión, el código malicioso utiliza la función de controlador OnInstalled para robar las cookies de sesión de Facebook. Con ello, los ciberdelincuentes pueden iniciar sesión en una cuenta de la red social como usuario y tener acceso completo a sus perfiles.

El malware abusa de la API de extensión de Chrome para conseguir una lista de cookies relacionadas con Facebook y las cifra con una clave AES. Luego extrae los datos robados a través de una solicitud GET al servidor del atacante.

Una vez que los ciberdelincuentes descifran las cookies robadas, ya pueden secuestrar las sesiones de Facebook de sus víctimas para campañas de publicidad maliciosa o para promover material prohibido.

El malware cambia automáticamente los detalles de inicio de sesión en las cuentas violadas para evitar que las víctimas recuperen el control de sus cuentas de Facebook. También cambia el nombre y la imagen del perfil a una persona falsa, utilizando el nombre de la actriz Lilly Collins.

ChatGPT aplicaciones falsas malware OpenAI noticia bit life media

Una extensión de ChatGPT que podría seguir mutando

Actualmente, esta extensión maliciosa de Google Chrome todavía está presente en la tienda oficial de Google Chrome Web Store.

Sin embargo, desde Guardio Labs confirman que han informado sobre la existencia de esta extensión maliciosa al equipo de la Chrome Web Store. En consecuencia, se espera que pronto se elimine de la tienda online.

Asimismo, también destacan que es probable que los ciberdelincuenets tengan un plan ‘C’ a través de otra extensión que podría facilitar una próxima ola de infección.

 

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre