LetsDefend：SOC202 - FakeGPT 恶意Chrome扩展程序

首先，我们将接管这个案件，进行深入调查，并找到威胁指标（IOC）。

Samuel是事件被检测到的设备名称。它有助于确定涉及的特定计算机是哪台。

-172.16.17.173是分配给网络上设备的内部IP地址。

文件名：hacfaophiklaeolhnmckojjjjbnappen.crx 是文件名，表示一个随机命名的Chrome扩展。 .crx扩展名表明这是一个浏览器扩展文件。

文件路径：C:\Users\LetsDefend\Download\hacfaophiklaeolhnmckojjjjbnappen.crx。该文件已下载到典型的下载文件夹中。

文件哈希值：7421f9abe5e618a0d517861f4709df53292a5f137053a227bfb4eb8e152a4669哈希是一种用于验证文件完整性的独特数值。它可以用来与已知的恶意文件进行交叉检查。

命令行：chrome.exe --single-argument C:\Users\LetsDefend\Download\hacfaophiklaeolhnmckojjjjbnappen.crx - 该命令通过下载文件夹中的扩展程序启动了Chrome。它显示了如何将扩展加载到浏览器中。

该系统允许扩展，尽管它的性质可疑。

调查

我们将首先通过检查日志来了解检测到的可疑活动的背景和影响，重点关注与潜在威胁相关的细节和行动。

日志显示，Chrome浏览器(chrome.exe)向www.chatgptforgoogle.pro的80号端口发起了网络连接，这是HTTP流量的标准端口。
域名www.chatgptforgoogle.pro似乎可疑，因为它类似于合法服务，但使用稍微改变的域名。这可能表明是一次钓鱼尝试或一个恶意网站，假装与ChatGPT有关。

这个日志显示谷歌Chrome向端口80上的www.chatgptgoogle.org发起了另一次连接尝试。域名www.chatgptgoogle.org也很可疑，似乎是在试图模仿一个合法的ChatGPT服务。

2 我们将确认包含 .crx 扩展名的文件在 virustotal 上是否被供应商标记为恶意。

文件hacfaophiklaeolhnmckojjjjbnappen.crx，社区评分为0分（满分65分）。没有安全厂商标记这个文件为恶意文件。扩展名.crx表明它是Chrome浏览器的扩展程序。低分和缺少厂商标记并不一定证明安全性；可能需要进一步调查。

我们将继续使用威胁情报工具病毒总对日志中所见的域进行分析。

域名www.chatgptforgoogle.pro被94个安全厂商中的8个标记为恶意，暗示潜在风险。该域名与间谍软件、恶意软件、钓鱼和欺诈活动有关。该域名一年前创建，与DGA（域名生成算法）相关联，通常在恶意活动中使用以逃避检测。

域名www.chatgptgoogle.org也被94家安全供应商中的8家标记为恶意，表示存在重大风险，与间谍软件、恶意软件、网络钓鱼和其他欺诈有关。通过GMO互联网集团注册。

3我们还将分析塞缪尔的设备，这对识别潜在威胁，如未经授权的浏览器扩展或可疑的网络连接至关重要。

这表明塞缪尔访问了Chrome网络商店页面，寻找一个名为“ChatGPT for Google”的浏览器扩展，该扩展的ID为hacfaophiklaeolhnmckojjjjbnappen。根据先前的日志显示，这个特定的扩展被标记为可疑或恶意（FakeGPT），可能被用于网络钓鱼或其他欺诈活动。

该网址https://chrome.google.com/webstore/detail/chatgpt-for-google/hacfaophiklaeolhnmckojjjjbnappen被96家安全供应商中的2家标记为恶意。该网址指向Chrome网店页面，链接的是一个名为“ChatGPT for Google”的扩展程序。尽管该网址返回了200状态（表示仍在运行），但这个扩展程序很可能涉及可疑活动，如网络钓鱼或间谍软件。建议采取进一步行动，如删除或阻止该扩展程序，以保障安全。