Dark Reading 網站披露， 3 月 3 日- 3 月 9 日，每天至少有 2000 人從 Google Play 應用商店下載"快速訪問 ChatGPT“ 的 Chrome 惡意擴展。據悉，一名威脅攻擊者可能利用該惡意擴展泄露包括商業賬戶在內的數千個 Facebook 賬戶。

從 Guardio 的分析結果來看，惡意 "快速訪問 Chat GPT "的擴展程序承諾用戶可以快速與近期大火的人工智能聊天機器人 Chat GPT 進行互動。然而事實上，該擴展程序偷偷地從瀏覽器中竊取所有授權活動會話的 cookies，并安裝了一個后門，使惡意軟件運營者能夠輕松獲得用戶 Facebook 賬戶的超級管理員權限。

值得注意的是，"快速訪問 Chat GPT "擴展程序僅僅是威脅攻擊者利用 ChatGPT 大火來分發惡意軟件和滲透系統的眾多方式之一。

近幾個月，隨著 ChatGPT 持續火爆，以其主題的釣魚電子郵件急劇增加，越來越多的攻擊者使用假冒的 ChatGPT 應用程序傳播 Windows 和 Android 惡意軟件。

以 Facebook 商業賬戶為目標的 ”僵尸軍團“

"快速訪問 Chat GPT "的擴展程序實際上是通過連接聊天機器人的 API 實現了對 ChatGPT 的快速訪問，但在訪問過程中，該擴展還收集了用戶瀏覽器中存儲的包括谷歌、Twitter 和 YouTube 以及任何其它活動在內的所有 cookie 列表。

如果某個用戶在 Facebook 上有一個活動、經過驗證的會話，則惡意擴展插件為開發人員訪問 Meta 的 Graph API。API 訪問使擴展能夠獲取與用戶 Facebook 帳戶相關的所有數據，甚至可以代表用戶采取各種行動。

更不幸的是，惡意擴展代碼中的一個組件允許劫持用戶的 Facebook 帳戶，其方法是在用戶帳戶上注冊一個惡意應用程序，并獲得 Facebook 的批準。對此 Guardio 表示，Facebook 生態系統下的應用程序通常是一個 SaaS 服務，它被批準使用其特殊的 API。因此，通過在用戶帳戶中注冊應用程序，威脅攻擊者可以在受害者的 Facebook 帳戶上獲得完全管理模式，而無需獲取密碼或嘗試繞過 Facebook 的雙重身份驗證。

如果惡意擴展遇到了一個 商業 Facebook 帳戶，它會快速獲取與該帳戶相關的所有信息，包括當前活動的促銷活動、信用余額、貨幣、最低計費閾值等。

一個有經濟動機的網絡罪犯

在 Facebook 通過其 Meta Graph API 授予訪問權之前，首先必須確認該請求是來自一個經過認證的可信用戶，為了規避這一預防措施，威脅者在惡意的瀏覽器擴展中加入了代碼，確保從受害者的瀏覽器向Facebook 網站發出的所有請求都被修改了標題，以便它們看起來也是可信的，這使得該擴展能夠使用受感染的瀏覽器自由地瀏覽任何 Facebook 頁面（包括進行 API 調用和操作），而不留下任何痕跡。

最后，Guardio 評估后表示，威脅行為者可能會將其從活動中收獲的信息賣給出價最高的人，該公司還預計攻擊者有可能創建一個被劫持的 Facebook商業賬戶的機器人大軍，利用受害者賬戶的錢來發布惡意廣告。