錯誤的鉻擴展程式竊取分析
最近,一些 Web3 參與者由於下載了讀取瀏覽器 cookie 的虛假 Chrome 擴展程式,從他們的帳戶中損失了資金。SlowMist團隊對這種騙局策略進行了詳細分析。背景
2024 年 3 月 1 日,根據 Twitter 使用者 @doomxbt,他們的幣安帳戶出現了異常情況,資金涉嫌被盜:
(https://x.com/doomxbt/status/1763237654965920175)
最初,這一事件並沒有引起太多關注。然而,在 2024 年 5 月 28 日,Twitter 使用者 @Tree_of_阿爾法 分析發現受害者 @doomxbt,可能安裝了來自 Chrome 網上應用店的惡意 Aggr 擴展程式,該擴展程式有很多正面評價(我們沒有直接與受害者確認)!此擴展程式可以從使用者訪問的網站中竊取所有cookie,兩個月前,有人付錢給有影響力的人來推廣它。
(https://x.com/Tree_of_Alpha/status/1795403185349099740)
連日來,對這一事件的關注度越來越高。登錄的受害者憑據被盜,隨後,駭客設法通過暴力破解從受害者那裡竊取加密貨幣資產。許多用戶已經就此問題諮詢了SlowMist安全團隊。接下來,我們將詳細分析此攻擊事件,為加密社區敲響警鐘。
分析
首先,我們需要找到這個惡意擴展。雖然谷歌已經刪除了惡意擴展,但我們還是可以通過快照資訊訪問一些歷史數據。
下載並分析擴展后,我們在目錄中發現了幾個JS檔:background.js,content.js,jquery-3.6.0.min.js和jquery-3.5.1.min.js。
在靜態分析過程中,我們觀察到background.js和content.js不包含過於複雜的代碼,也沒有任何明顯的可疑代碼邏輯。但是,在background.js中,我們發現了一個網站的連結,該外掛程式收集數據並將其發送到HTTPs[:]//aggrtrade-extension[.]。com/statistics_collection/index[.]噗嗤。
通過分析manifest.json文件,我們可以看到background.js使用 /jquery/jquery-3.6.0.min.js,content.js使用 /jquery/jquery-3.5.1.min.js。讓我們專注於分析這兩個jQuery檔。
我們在jquery/jquery-3.6.0.min.js中發現了可疑的惡意代碼。代碼將瀏覽器cookie處理為JSON格式,並將它們發送到網站:HTTPs[:]//aggrtrade-extension[.]com/statistics_collection/index[.]噗嗤。
在靜態分析之後,單子為了更準確地分析惡意擴展在發送數據時的行為,我們首先安裝和調試擴展。(注意:分析應在全新的測試環境中進行,該環境沒有登錄任何帳戶,並且應將惡意網站更改為受控網站,以避免將敏感數據發送到攻擊者的伺服器。
在測試環境中安裝惡意擴展后,打開任意網站(如 google.com),並在後台觀察惡意擴展發出的網路請求。我們觀察到來自谷歌的cookie數據正在發送到外部伺服器。
我們還觀察到惡意擴展在博客服務上發送的cookie數據。
此時,如果攻擊者獲得使用者身份驗證、憑據等的訪問許可權,並利用瀏覽器擴展cookie劫持,他們可以對某些交易網站進行重播攻擊,竊取使用者的加密貨幣資產。
讓我們再次分析惡意鏈接:HTTPs[:]//aggrtrade-extension[.]com/statistics_collection/index[.]噗嗤。
涉及的領域:aggrtrade-extension[.]com
解析上圖中的域名資訊:
.ru 表明它很可能是來自俄語地區的典型使用者,這表明俄羅斯或東歐駭客組織參與的可能性很高。
攻擊時間線:
分析惡意網站模仿AGGR(aggr.trade),aggrtrade-extension[.]Com,我們發現駭客在三年前就開始計劃攻擊。
4個月前,駭客部署了攻擊:
根據InMist威脅情報合作網路,我們發現駭客的IP位於莫斯科,利用 srvape.com 提供的VPS。他們的電子郵件是aggrdev@gmail.com。
部署成功后,駭客開始在推特上推廣,等待毫無戒心的受害者跌進入套住。至於故事的其餘部分,它是眾所周知的——一些使用者安裝了惡意擴展程式,隨後成為盜竊的受害者。
下圖是AggrTrade的官方警告:
Summary
SlowMist 安全團隊建議所有使用者,瀏覽器擴展的風險幾乎與直接運行可執行檔一樣大。因此,在安裝前仔細檢查至關重要。另外,要小心那些向您發送私人消息的人。如今,駭客和詐騙者經常冒充合法和知名的專案,聲稱提供贊助或推廣機會,針對內容創作者進行詐騙。最後,在瀏覽區塊鏈的黑暗森林時,請始終保持懷疑的態度,以確保您安裝的內容是安全的,並且不容易受到駭客的利用。
語句:
本文轉載自 [慢雾科技],原標題為《披著羊皮的狼|假Chrome擴展程式盜竊分析“,版權歸原作者所有[Mountain&Thinking@Slow 霧安全團隊],如果您對轉載有任何異議,請聯繫Gate Learn Team,團隊將按照相關程序儘快處理。
免責聲明:本文表達的觀點和意見僅代表作者個人觀點,不構成任何投資建議。
文章的其他語言版本由Gate Learn團隊翻譯,未在Gate.io 中提及,翻譯后的文章不得複製,分發或抄襲。
分享
目錄
背景
分析
總結
相關文章
Tronscan(波場瀏覽器)是什麼,2025年如何使用?
什麼是穩定幣 USDT?
一文解讀什幺是區塊鏈
什麼是穩定幣 USDC?
錯誤的鉻擴展程式竊取分析
背景
分析
總結
背景
2024 年 3 月 1 日,根據 Twitter 使用者 @doomxbt,他們的幣安帳戶出現了異常情況,資金涉嫌被盜:
(https://x.com/doomxbt/status/1763237654965920175)
最初,這一事件並沒有引起太多關注。然而,在 2024 年 5 月 28 日,Twitter 使用者 @Tree_of_阿爾法 分析發現受害者 @doomxbt,可能安裝了來自 Chrome 網上應用店的惡意 Aggr 擴展程式,該擴展程式有很多正面評價(我們沒有直接與受害者確認)!此擴展程式可以從使用者訪問的網站中竊取所有cookie,兩個月前,有人付錢給有影響力的人來推廣它。
(https://x.com/Tree_of_Alpha/status/1795403185349099740)
連日來,對這一事件的關注度越來越高。登錄的受害者憑據被盜,隨後,駭客設法通過暴力破解從受害者那裡竊取加密貨幣資產。許多用戶已經就此問題諮詢了SlowMist安全團隊。接下來,我們將詳細分析此攻擊事件,為加密社區敲響警鐘。
分析
首先,我們需要找到這個惡意擴展。雖然谷歌已經刪除了惡意擴展,但我們還是可以通過快照資訊訪問一些歷史數據。
下載並分析擴展后,我們在目錄中發現了幾個JS檔:background.js,content.js,jquery-3.6.0.min.js和jquery-3.5.1.min.js。
在靜態分析過程中,我們觀察到background.js和content.js不包含過於複雜的代碼,也沒有任何明顯的可疑代碼邏輯。但是,在background.js中,我們發現了一個網站的連結,該外掛程式收集數據並將其發送到HTTPs[:]//aggrtrade-extension[.]。com/statistics_collection/index[.]噗嗤。
通過分析manifest.json文件,我們可以看到background.js使用 /jquery/jquery-3.6.0.min.js,content.js使用 /jquery/jquery-3.5.1.min.js。讓我們專注於分析這兩個jQuery檔。
我們在jquery/jquery-3.6.0.min.js中發現了可疑的惡意代碼。代碼將瀏覽器cookie處理為JSON格式,並將它們發送到網站:HTTPs[:]//aggrtrade-extension[.]com/statistics_collection/index[.]噗嗤。
在靜態分析之後,單子為了更準確地分析惡意擴展在發送數據時的行為,我們首先安裝和調試擴展。(注意:分析應在全新的測試環境中進行,該環境沒有登錄任何帳戶,並且應將惡意網站更改為受控網站,以避免將敏感數據發送到攻擊者的伺服器。
在測試環境中安裝惡意擴展后,打開任意網站(如 google.com),並在後台觀察惡意擴展發出的網路請求。我們觀察到來自谷歌的cookie數據正在發送到外部伺服器。
我們還觀察到惡意擴展在博客服務上發送的cookie數據。
此時,如果攻擊者獲得使用者身份驗證、憑據等的訪問許可權,並利用瀏覽器擴展cookie劫持,他們可以對某些交易網站進行重播攻擊,竊取使用者的加密貨幣資產。
讓我們再次分析惡意鏈接:HTTPs[:]//aggrtrade-extension[.]com/statistics_collection/index[.]噗嗤。
涉及的領域:aggrtrade-extension[.]com
解析上圖中的域名資訊:
.ru 表明它很可能是來自俄語地區的典型使用者,這表明俄羅斯或東歐駭客組織參與的可能性很高。
攻擊時間線:
分析惡意網站模仿AGGR(aggr.trade),aggrtrade-extension[.]Com,我們發現駭客在三年前就開始計劃攻擊。
4個月前,駭客部署了攻擊:
根據InMist威脅情報合作網路,我們發現駭客的IP位於莫斯科,利用 srvape.com 提供的VPS。他們的電子郵件是aggrdev@gmail.com。
部署成功后,駭客開始在推特上推廣,等待毫無戒心的受害者跌進入套住。至於故事的其餘部分,它是眾所周知的——一些使用者安裝了惡意擴展程式,隨後成為盜竊的受害者。
下圖是AggrTrade的官方警告:
Summary
SlowMist 安全團隊建議所有使用者,瀏覽器擴展的風險幾乎與直接運行可執行檔一樣大。因此,在安裝前仔細檢查至關重要。另外,要小心那些向您發送私人消息的人。如今,駭客和詐騙者經常冒充合法和知名的專案,聲稱提供贊助或推廣機會,針對內容創作者進行詐騙。最後,在瀏覽區塊鏈的黑暗森林時,請始終保持懷疑的態度,以確保您安裝的內容是安全的,並且不容易受到駭客的利用。
語句:
本文轉載自 [慢雾科技],原標題為《披著羊皮的狼|假Chrome擴展程式盜竊分析“,版權歸原作者所有[Mountain&Thinking@Slow 霧安全團隊],如果您對轉載有任何異議,請聯繫Gate Learn Team,團隊將按照相關程序儘快處理。
免責聲明:本文表達的觀點和意見僅代表作者個人觀點,不構成任何投資建議。
文章的其他語言版本由Gate Learn團隊翻譯,未在Gate.io 中提及,翻譯后的文章不得複製,分發或抄襲。
相關文章
Tronscan(波場瀏覽器)是什麼,2025年如何使用?
什麼是穩定幣 USDT?
一文解讀什幺是區塊鏈
什麼是穩定幣 USDC?