慢霧安全團隊提醒廣大用戶在安裝瀏覽器擴充功能前一定要仔細審核。
作者:山,Thinking,慢霧安全團隊
背景
2024 年 3 月 1 日,根據推特用戶 @doomxbt 回饋,其幣安帳戶有異常情況,資金疑似被竊:
一開始這個事件沒有引起太大關注,但在 2024 年 5 月 28 日,推特用戶 @Tree_of_Alpha 分析發現受害者 @doomxbt 疑似安裝了一個 Chrome 商店中有很多好評的惡意 Aggr 擴展程序!它可以竊取用戶訪問的網站上的所有 cookies,並且 2 個月前有人付錢給一些有影響力的人來推廣它。
這兩天此事件關注度提升,有受害者登入後的憑證被盜取,隨後駭客透過對敲盜走受害者的加密貨幣資產,不少用戶諮詢慢霧安全團隊這個問題。接下來我們會具體分析該攻擊事件,為加密社群敲響警鐘。
分析
首先,我們得找到這個惡意擴充。雖然已經 Google 已經下架了該惡意擴展,但是我們可以透過快照資訊看到一些歷史資料。
下載後進行分析,從目錄上 JS 檔案是 background.js,content.js,jquery-3.6.0.min.js,jquery-3.5.1.min.js。
在靜態分析過程中,我們發現 background.js 和 content.js 沒有太多複雜的程式碼,也沒有明顯的可疑程式碼邏輯,但是我們在 background.js 發現一個網站的鏈接,並且會將插件獲取的資料發送到 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
透過分析 manifest.json 文件,可以看到 background 使用了/jquery/jquery-3.6.0.min.js,content 使用了/jquery/jquery-3.5.1.min.js,於是我們來聚焦分析這兩個 jquery 檔:
我們在 jquery/jquery-3.6.0.min.js 中發現了可疑的惡意程式碼,程式碼將瀏覽器中的 cookies 透過 JSON 處理後傳送到了 site : https[:]//aggrtrade-extension[.]com/ statistics_collection/index[.]php。
靜態分析後,為了能夠更準確地分析惡意擴充發送資料的行為,我們開始對擴充進行安裝和調試。(注意:要在全新的測試環境中進行分析,環境中沒有登入任何帳號,並且將惡意的 site 改成自己可控的,避免測試中將敏感資料傳送到攻擊者的伺服器上)
在測試環境中安裝好惡意擴充功能後,開啟任意網站,例如 google.com,然後觀察惡意擴充 background 中的網路請求,發現 Google 的 cookies 資料被傳送到了外部伺服器:
我們在 Weblog 服務上也看到了惡意擴充功能發送的 cookies 資料:
至此,如果攻擊者拿到使用者認證、憑證等訊息,使用瀏覽器擴充劫持 cookies,就可以在一些交易網站進行對敲攻擊,竊取使用者的加密資產。
我們再分析下回傳惡意連結 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
涉及網域名稱:aggrtrade-extension[.]com
解析上圖的網域資訊:
.ru 看起來是典型的俄語區用戶,所以大概率是俄羅斯或東歐黑客團夥。
攻擊時間軸:
分析仿冒 AGGR (aggr.trade) 的惡意網站 aggrtrade-extension[.]com,發現駭客 3 年前就開始規劃攻擊:
4 個月前,駭客部署攻擊:
根據 InMist 威脅情報合作網絡,我們查到駭客的 IP 位於莫斯科,使用 srvape.com 提供的 VPS ,郵箱是 aggrdev@gmail.com。
部署成功後,駭客便開始在推特上推廣,等待魚兒上鉤。後面的故事大家都知道了,有些用戶安裝了惡意擴展,然後被偷。
下圖是 AggrTrade 的官方提醒:
總結
慢霧安全團隊提醒廣大用戶,瀏覽器擴充功能的風險幾乎和直接執行可執行檔一樣大,所以在安裝前一定要仔細審核。同時,小心那些私訊你的人,現在駭客和騙子都喜歡冒充合法、知名項目,以資助、推廣等名義,針對內容創作者進行詐騙。最後,在區塊鏈黑暗森林裡行走,要隨時保持懷疑的態度,確保你安裝的東西是安全的,不讓駭客有機可乘。
免責聲明:作為區塊鏈資訊平台,本站所發布文章僅代表作者及來賓個人觀點,與 Web3Caff 立場無關。文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
