원저자: Shan, Thinking, Slow Mist 보안 팀
배경
2024년 3월 1일 트위터 사용자 @doomxbt의 피드백에 따르면 그의 바이낸스 계정에 이상이 있었고 자금이 도난당한 것으로 의심되었습니다.
(https://x.com/doomxbt/status/1763237654965920175)
이 사건은 처음에는 큰 관심을 끌지 못했지만, 2024년 5월 28일 트위터 사용자 @Tree_of_Alpha가 분석한 결과 피해자 @doomxbt가 Chrome 스토어에서 긍정적인 리뷰가 많은 악성 Aggr 확장 프로그램을 설치한 것으로 의심되는 사실을 발견했습니다! 이는 사용자가 방문하는 웹사이트에서 모든 쿠키를 훔칠 수 있으며, 2개월 전에 누군가가 이를 홍보하기 위해 일부 영향력 있는 사람들에게 돈을 지불했습니다.
(https://x.com/Tree_of_Alpha/status/1795403185349099740)
이 사건은 지난 이틀 동안 더욱 주목을 끌었습니다. 피해자의 로그인 후 자격 증명이 도난당했고, 이후 해커들이 해킹을 통해 피해자의 암호화폐 자산을 훔쳤습니다. 이 문제에 대해 많은 사용자들이 SlowMist 보안팀에 문의했습니다. 다음으로 공격을 자세히 분석하고 암호화 커뮤니티에 경보를 울릴 것입니다.
분석하다
먼저 악성 확장 프로그램을 찾아야 합니다. 구글이 악성 확장 프로그램을 제거했지만, 스냅샷 정보를 통해 일부 과거 데이터를 확인할 수 있습니다.
다운로드 및 분석 후 디렉터리의 JS 파일은 background.js, content.js, jquery-3.6.0.min.js, jquery-3.5.1.min.js입니다.
정적 분석 과정에서 우리는 background.js와 content.js가 그다지 복잡한 코드도 없고, 명백히 의심되는 코드 로직도 없다는 것을 발견했습니다. 그러나 우리는 background.js에서 해당 사이트에 대한 링크를 발견했고, 플러그에서 얻은 데이터도 발견했습니다. -in이 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php로 전송되었습니다.
Manifest.json 파일을 분석해 보면 백그라운드는 /jquery/jquery-3.6.0.min.js를 사용하고 컨텐츠는 /jquery/jquery-3.5.1.min.js를 사용하는 것을 알 수 있으니 이 두 jquery를 집중적으로 분석해 보겠습니다. 파일:
jquery/jquery-3.6.0.min.js에서 의심스러운 악성 코드를 발견했습니다. 해당 코드는 JSON을 통해 브라우저에서 쿠키를 처리하고 이를 https[:]//aggrtrade-extension[.]com/statistics_collection 사이트로 보냅니다. /index[.]php.
정적 분석 이후 데이터를 전송하는 악성 확장 프로그램의 동작을 보다 정확하게 분석하기 위해 확장 프로그램 설치 및 디버깅을 시작했습니다. (참고: 분석은 새로운 테스트 환경에서 수행되어야 합니다. 해당 환경에는 어떤 계정도 로그인되지 않으며 테스트 중에 민감한 데이터가 공격자의 서버로 전송되지 않도록 악성 사이트를 직접 제어할 수 있는 사이트로 변경해야 합니다.)
테스트 환경에서 악성 확장 프로그램을 설치한 후 google.com과 같은 웹사이트를 열고 악성 확장 프로그램의 백그라운드에서 네트워크 요청을 관찰하여 Google의 쿠키 데이터가 외부 서버로 전송되는 것을 확인합니다.
또한 웹로그 서비스의 악성 확장 프로그램이 보낸 쿠키 데이터도 확인했습니다.
이 시점에서 공격자가 사용자 인증, 자격 증명 및 기타 정보를 획득하고 브라우저 확장 프로그램을 사용하여 쿠키를 탈취하면 일부 거래 웹사이트에 대한 노크온 공격을 수행하고 사용자의 암호화된 자산을 훔칠 수 있습니다.
반환된 악성 링크 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php를 분석해 보겠습니다.
관련 도메인 이름: aggrtrade-extension[.]com
위 그림의 도메인 이름 정보를 구문 분석합니다.
.ru는 러시아어권 지역의 일반적인 사용자인 것으로 보아 러시아어나 동유럽 해커 그룹일 가능성이 높습니다.
공격 타임라인:
AGGR(aggr.trade)을 위조한 악성 웹사이트 aggrtrade-extension[.]com을 분석한 결과, 해커가 3년 전부터 공격을 계획하기 시작했다는 사실을 발견했습니다.
4개월 전 해커들이 공격을 전개했습니다.
InMist 위협 인텔리전스 협력 네트워크에 따르면 srvape.com에서 제공하는 VPS를 사용하여 해커의 IP가 모스크바에 위치하고 있으며 이메일 주소는 aggrdev@gmail.com임을 확인했습니다.
배포가 성공한 후 해커는 Twitter에서 이를 홍보하기 시작하고 물고기가 미끼를 물기를 기다립니다. 그 뒤에 숨겨진 이야기는 누구나 알고 있습니다. 일부 사용자는 악성 확장 프로그램을 설치한 후 도난당했습니다.
아래 사진은 AggrTrade의 공식 알림입니다:
요약하다
SlowMist 보안 팀은 브라우저 확장 프로그램이 실행 파일을 직접 실행하는 것만큼 위험하므로 설치 전에 주의 깊게 검토해야 함을 사용자에게 상기시킵니다. 동시에, 귀하에게 비공개 메시지를 보내는 사람들을 조심하십시오. 해커와 사기꾼은 이제 합법적이고 잘 알려진 프로젝트인 것처럼 가장하고 자금 조달, 홍보 등의 이름으로 콘텐츠 제작자를 속이는 것을 좋아합니다. 마지막으로, 블록체인의 어두운 숲을 걸을 때 항상 회의적인 태도를 유지하고 자신이 설치한 것이 안전한지 확인하십시오.
