Forscher entdecken raffinierte Chrome-Erweiterungen: Affiliate-Betrug & ChatGPT-Zugangsdatendiebstahl

Forscher entdecken raffinierte Chrome-Erweiterungen: Affiliate-Betrug & ChatGPT-Zugangsdatendiebstahl

In einer bedeutenden Entwicklung für die Browsersicherheit haben Cybersicherheitsforscher eine neue Welle bösartiger Google Chrome-Erweiterungen aufgedeckt, die eine raffinierte Doppeldrohung darstellen: das heimliche Kapern von Affiliate-Links und den direkten Diebstahl von OpenAI ChatGPT-Authentifizierungstoken. Diese Entdeckung unterstreicht die sich entwickelnden Taktiken von Bedrohungsakteuren, die das vertraute Browser-Erweiterungs-Ökosystem sowohl für finanziellen Gewinn als auch für den unbefugten Zugriff auf wertvolle KI-Dienste nutzen.

Die doppelte Bedrohung: Affiliate-Link-Hijacking & Datenexfiltration

Ein prominentes Beispiel ist eine Erweiterung, die sich als „Amazon Ads Blocker“ (ID: pnpchphmplpdimbllknjoiopmfphellj) tarnt. Während sie vorgibt, ein saubereres Amazon-Browsererlebnis durch das Entfernen gesponserter Inhalte zu bieten, ist ihre wahre Absicht weitaus bösartiger. Nach der Installation erhalten diese Erweiterungen weitreichende Berechtigungen, die es ihnen ermöglichen, die Browseraktivitäten des Benutzers zu überwachen. Wenn ein Benutzer zu einer E-Commerce-Website navigiert oder auf einen Produktlink klickt, der normalerweise eine Affiliate-Provision für einen legitimen Referrer generieren würde, fängt die bösartige Erweiterung diese Anfrage ab. Sie schreibt dann die URL um und ersetzt die legitime Affiliate-ID durch ihre eigene. Diese Umleitung stellt sicher, dass jeder nachfolgende Kauf die Provision dem Angreifer zuschreibt, wodurch Einnahmen von legitimen Affiliates und Publishern effektiv abgeschöpft werden.

Über das einfache Link-Hijacking hinaus sind diese Erweiterungen für eine breitere Datenexfiltration konzipiert. Forscher fanden Funktionen zur Sammlung einer Vielzahl von Benutzerdaten, einschließlich des Browserverlaufs, Suchanfragen und potenziell sogar Formulareingaben. Diese gestohlenen Informationen können für gezielte Werbung, Phishing-Kampagnen oder den Verkauf auf Darknet-Marktplätzen verwendet werden, was die Privatsphäre und Sicherheit der Benutzer weiter gefährdet. Der finanzielle Anreiz hinter Affiliate-Betrug ist erheblich, was ihn zu einem lukrativen Weg für Angreifer macht, insbesondere wenn er über eine große Anzahl ahnungsloser Benutzer skaliert wird.

ChatGPT-Zugangsdatendiebstahl: Ein Tor zum KI-Missbrauch

Der vielleicht alarmierendste Aspekt dieser Entdeckung ist die Fähigkeit der Erweiterungen, OpenAI ChatGPT-Authentifizierungstoken zu stehlen. Mit der steigenden Popularität von KI-Diensten, insbesondere ChatGPT, ist der Zugriff auf Benutzerkonten zu einem Hauptziel für bösartige Akteure geworden. Diese Erweiterungen nutzen die Tatsache aus, dass, sobald sich ein Benutzer bei ChatGPT anmeldet, ein Sitzungstoken im Browser gespeichert wird. Durch die Nutzung ihrer umfangreichen Berechtigungen können die Erweiterungen auf diese Token zugreifen und sie auf von Angreifern kontrollierte Server exfiltrieren.

Der Besitz eines ChatGPT-Authentifizierungstokens eines Benutzers gewährt Angreifern unbefugten Zugriff auf dessen Konto. Dies kann zu mehreren schwerwiegenden Konsequenzen führen:

• Unbefugter Zugriff: Angreifer können als legitimer Benutzer mit ChatGPT interagieren, frühere Konversationen anzeigen, neue Inhalte generieren und potenziell auf sensible Informationen zugreifen, die in früheren Chats geteilt wurden.
• API-Missbrauch: Wenn der Benutzer Zugriff auf die OpenAI-API hat, könnten die Angreifer die gestohlenen Token nutzen, um unautorisierte API-Aufrufe zu tätigen, was Kosten für das Opfer verursacht oder die API für ihre eigenen bösartigen Zwecke (z. B. Spam-Generierung, Erstellung von Phishing-E-Mails oder Malware) verwendet.
• Datenleck: Sensible Daten, die zuvor mit ChatGPT besprochen wurden, könnten abgerufen und exfiltriert werden.
• Identitätsdiebstahl und Social Engineering: Die Fähigkeit, KI-Inhalte von einem kompromittierten Konto zu generieren, kann für raffinierte Social-Engineering-Angriffe genutzt werden, indem die früheren Interaktionen des Benutzers verwendet werden, um äußerst überzeugende bösartige Inhalte zu erstellen.

Technisches Modus Operandi und Datenexfiltration

Die bösartigen Erweiterungen arbeiten typischerweise, indem sie JavaScript in besuchte Webseiten injizieren oder Hintergrundskripte verwenden, um Netzwerkanfragen zu überwachen. Sie verwenden oft Verschleierungstechniken, um ihre wahren Absichten in ihrem Code zu verbergen, was die Erkennung für automatisierte Scan-Tools und manuelle Analysen erschwert. Die Exfiltration gestohlener Daten, einschließlich Affiliate-Details und ChatGPT-Token, erfolgt verdeckt an von Angreifern kontrollierte Command-and-Control (C2)-Server. Während eine ausgeklügelte C2-Infrastruktur üblich ist, setzen Bedrohungsakteure manchmal eine Reihe von Methoden zur Datenerfassung und -verfolgung ein. So könnte die grundlegende Verfolgung von IP-Adressen oder Benutzeraktivitäten sogar einfache Dienste nutzen, ähnlich wie iplogger.org zur Protokollierung von IP-Adressen und User Agents verwendet werden kann, obwohl für die Exfiltration sensibler Zugangsdaten in der Regel fortschrittlichere Mechanismen zum Einsatz kommen.

Die Erweiterungen nutzen legitime Browser-APIs, wie chrome.webRequest zum Abfangen und Ändern von Netzwerkanfragen und chrome.cookies oder den lokalen Speicherzugriff für den Token-Diebstahl. Ihre Fähigkeit, über längere Zeiträume unentdeckt zu bleiben, unterstreicht eine anhaltende Herausforderung im Browser-Erweiterungs-Ökosystem, wo ein Gleichgewicht zwischen Funktionalität und Sicherheit gefunden werden muss.

Auswirkungen und Minderungsstrategien

Die Auswirkungen solcher bösartiger Erweiterungen sind vielfältig. Benutzer sind finanziellen Verlusten durch Affiliate-Betrug, erheblichen Datenschutzverletzungen durch Datenexfiltration und potenzieller Kontokompromittierung ihrer KI-Dienste ausgesetzt. Für Unternehmen wird die Integrität ihrer Affiliate-Programme untergraben und das Vertrauen in Browser-Erweiterungen im Allgemeinen erodiert.

Um diesen Bedrohungen entgegenzuwirken, müssen sowohl einzelne Benutzer als auch Organisationen proaktive Sicherheitsmaßnahmen ergreifen:

• Vorsicht bei Installationen: Installieren Sie Erweiterungen nur von seriösen Entwicklern und bewerten Sie deren Notwendigkeit kritisch.
• Berechtigungen prüfen: Überprüfen Sie vor der Installation sorgfältig die Berechtigungen, die eine Erweiterung anfordert. Wenn ein "Amazon Ads Blocker" weitreichenden Zugriff zum "Lesen und Ändern all Ihrer Daten auf allen Websites" anfordert, sollte dies eine erhebliche Warnung sein.
• Regelmäßige Überprüfungen: Überprüfen Sie regelmäßig Ihre installierten Erweiterungen und entfernen Sie alle, die nicht mehr benötigt werden oder verdächtig erscheinen.
• Software auf dem neuesten Stand halten: Stellen Sie sicher, dass Ihr Chrome-Browser und Ihr Betriebssystem immer auf dem neuesten Stand sind, um von den neuesten Sicherheitspatches zu profitieren.
• Sicherheitssoftware verwenden: Setzen Sie robuste Antiviren- und Anti-Malware-Lösungen ein, die bösartige Browser-Aktivitäten erkennen und blockieren können.
• Multi-Faktor-Authentifizierung (MFA) aktivieren: Aktivieren Sie für kritische Konten wie OpenAI, wo immer möglich, MFA. Während MFA den Token-Diebstahl nicht verhindert, fügt es eine entscheidende Verteidigungsschicht gegen unbefugte Anmeldeversuche mit gestohlenen Zugangsdaten hinzu.
• Konten überwachen: Überprüfen Sie regelmäßig die Aktivitätsprotokolle Ihrer Online-Konten, insbesondere derjenigen, die sich auf KI-Dienste oder E-Commerce beziehen.

Fazit

Die Entdeckung von Chrome-Erweiterungen, die sowohl Affiliate-Link-Hijacking als auch ChatGPT-Token-Diebstahl als Waffe einsetzen, unterstreicht die anhaltende und sich entwickelnde Bedrohungslandschaft innerhalb des Browser-Ökosystems. Da KI-Dienste immer stärker in die täglichen Arbeitsabläufe integriert werden, wird der Wert des Zugriffs auf diese Plattformen nur noch steigen, was sie zu Hauptzielen für Cyberkriminelle macht. Wachsamkeit, fundierte Entscheidungen bezüglich Softwareinstallationen und die Einhaltung bewährter Sicherheitspraktiken sind von größter Bedeutung, um sich gegen diese raffinierten Angriffe zu verteidigen.