原文来源:慢雾安全团队
背景
2024 年 3 月 1 日,据推特用户 @doomxbt 反馈,其币安账户存在非常情形,资金疑似被盗:
(https://x.com/doomxbt/status/1763237654965920175)
一开始这个事宜没有引起太大关注,但在 2024 年 5 月 28 日,推特用户 @Tree_of_Alpha 剖析创造受害者 @doomxbt 疑似安装了一个 Chrome 商店中有很多好评的恶意 Aggr 扩展程序!
它可以盗取用户访问的网站上的所有 cookies,并且 2 个月前有人付钱给一些有影响力的人来推广它。
(https://x.com/Tree_of_Alpha/status/1795403185349099740)
这两天此事宜关注度提升,有受害者登录后的凭据被盗取,随后黑客通过对敲盗走受害者的加密货币资产,不少用户咨询慢雾安全团队这个问题。接下来我们会详细剖析该攻击事宜,为加密社区敲响警钟。
剖析
首先,我们得找到这个恶意扩展。虽然已经 Google 已经下架了该恶意扩展,但是我们可以通过快照信息看到一些历史数据。
下载后进行剖析,从目录上 JS 文件是 background.js,content.js,jquery-3.6.0.min.js,jquery-3.5.1.min.js。
静态剖析过程中,我们创造 background.js 和 content.js 没有太多繁芜的代码,也没有明显的可疑代码逻辑,但是我们在 background.js 创造一个站点的链接,并且会将插件获取的数据发送到 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
通过剖析 manifest.json 文件,可以看到 background 利用了 /jquery/jquery-3.6.0.min.js,content 利用了 /jquery/jquery-3.5.1.min.js,于是我们来聚焦剖析这两个 jquery 文件:
我们在 jquery/jquery-3.6.0.min.js 中创造了可疑的恶意代码,代码将浏览器中的 cookies 通过 JSON 处理后发送到了 site : https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
静态剖析后,为了能够更准确地剖析恶意扩展发送数据的行为,我们开始对扩展进行安装和调试。(把稳:要在全新的测试环境中进行剖析,环境中没有登录任何账号,并且将恶意的 site 改本钱身可控的,避免测试中将敏感数据发送到攻击者的做事器上)
在测试环境中安装好恶意扩展后,打开任意网站,比如 google.com,然后不雅观察恶意扩展 background 中的网络要求,创造 Google 的 cookies 数据被发送到了外部做事器:
我们在 Weblog 做事上也看到了恶意扩展发送的 cookies 数据:
至此,如果攻击者拿到用户认证、凭据等信息,利用浏览器扩展挟制 cookies,就可以在一些交易网站进行对敲攻击,盗窃用户的加密资产。
我们再剖析下回传恶意链接 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
涉及域名:aggrtrade-extension[.]com
解析上图的域名信息:
.ru 看起来是范例的俄语区用户,以是大概率是俄罗斯或东欧黑客团伙。
攻击韶光线:
剖析仿冒 AGGR (aggr.trade) 的恶意网站 aggrtrade-extension[.]com,创造黑客 3 年前就开始谋划攻击:
4 个月前,黑客支配攻击:
根据 InMist 威胁情报互助网络,我们查到黑客的 IP 位于莫斯科,利用 srvape.com 供应的 VPS ,邮箱是 aggrdev@gmail.com。
支配成功后,黑客便开始在推特上推广,等待鱼儿中计。后面的故事大家都知道了,一些用户安装了恶意扩展,然后被盗。
下图是 AggrTrade 的官方提醒:
总结
慢雾安全团队提醒广大用户,浏览器扩展的风险险些和直接运行可实行文件一样大,以是在安装前一定要仔细审核。同时,小心那些给你发私信的人,现在黑客和骗子都喜好伪装合法、有名项目,以帮助、推广等名义,针对内容创作者进行诱骗。末了,在区块链阴郁森林里行走,要始终保持疑惑的态度,确保你安装的东西是安全的,不让黑客有机可乘。
