21.5 C
São Paulo
21 de novembro de 2024

Falsa extensão do ChatGPT instala malware que rouba cookies do Facebook

A equipe de pesquisa da ESET analisou sites falsos que prometem ferramentas distribuem arquivos maliciosos que buscam roubar dados e informações

Cibercriminosos estão criando sites falsos, em nome do ChatGPT, como isca para infectar pessoas com malware. Embora muitas dessas páginas permaneçam ativas por pouco tempo, uma delas recentemente chamou a atenção, por incluir o nome da inteligência artificial na URL e oferecer uma ferramenta baseada no código do chatbot para fins de marketing e publicidade. A descoberta é da ESET, empresa que fornece tecnologias proativas de ameaças cibernéticas.

Nesse caso, o objetivo é que a vítima baixe um app malicioso que é instalado como uma extensão para o Google Chrome e permite que o invasor acesse os cookies do navegador, dando-lhe a possibilidade de realizar diferentes tipos de ações.

Cookies são pequenos arquivos que contêm informações que permitem autenticar e manter uma sessão aberta em um dispositivo. Isso significa que o usuário evita ter que inserir manualmente suas credenciais toda vez que quiser acessar sua conta. Se um invasor tiver acesso aos cookies do Facebook em um computador, ele poderá usá-los para executar ações em nome do usuário sem seu consentimento e obter acesso não autorizado, por exemplo.

Site falso que usa o nome ChatGPT para baixar uma extensão maliciosa para o computador da vítima.

Nesta modalidade, a vítima é induzida a clicar no botão de download e digitar a senha especificada (“888”) baixa um arquivo chamado “GPT4_V2_1. 7_Setup. rar”. No entanto, se trata de um arquivo para instalar software no Windows que também pode ser usado para remover, modificar e até mesmo atualizar software. Se a vítima executar o arquivo, a seguinte janela de instalação será aberta uma janela de instalação que é aberta ao executar o arquivo MSI e acaba instalando a extensão maliciosa. 

Uma vez que esse processo é concluído, uma janela se abre no navegador Google Chrome que leva ao site oficial do ChatGPT, mas o que a vítima não terá notado que uma extensão maliciosa foi instalada em seu computador que é mantida escondida, uma vez que não há nenhuma interface projetada para esta extensão. Depois da instalação, abre-se uma aba no Chrome com o site oficial do ChatGPT, provavelmente para não levantar suspeitas.

“Ao analisar o arquivo de instalação, protegido com senha, detectamos que ele continha outros dois arquivos que nos chamaram a atenção. Um deles é responsável pelo malware persistir no computador e criar uma pasta. O outro é executado quando o processo de instalação da suposta ferramenta termina e contém uma série de comandos. O primeiro é responsável por abrir uma nova janela do Google Chrome e carregar o site oficial do ChatGPT, enquanto o segundo é responsável por carregar uma extensão para o navegador armazenada na pasta mencionada acima”, explica Camilo Gutiérrez Amaya, Chefe do Laboratório de Pesquisa da ESET.