原文作者:山、Thinking,慢霧安全團隊
背景
2024 年3 月1 日,根據推特用戶@doomxbt 回饋,其幣安帳戶有異常情況,資金疑似被竊:
(https://x.com/doomxbt/status/1763237654965920175)
一開始這個事件沒有引起太大關注,但在2024 年5 月28 日,推特用戶@Tree_of_Alpha 分析發現受害者@doomxbt 疑似安裝了一個Chrome 商店中有很多好評的惡意Aggr 擴展程序!它可以竊取用戶訪問的網站上的所有cookies,並且2 個月前有人付錢給一些有影響力的人來推廣它。
(https://x.com/Tree_of_Alpha/status/1795403185349099740)
這兩天此事件關注度提升,有受害者登入後的憑證被盜取,隨後駭客透過對敲盜走受害者的加密貨幣資產,不少用戶諮詢慢霧安全團隊這個問題。接下來我們會具體分析該攻擊事件,為加密社群敲響警鐘。
分析
首先,我們得找到這個惡意擴充。雖然已經Google 已經下架了該惡意擴展,但是我們可以透過快照資訊看到一些歷史資料。
下載後進行分析,從目錄上JS 檔案是background.js,content.js,jquery-3.6.0.min.js,jquery-3.5.1.min.js。
在靜態分析過程中,我們發現background.js 和content.js 沒有太多複雜的程式碼,也沒有明顯的可疑程式碼邏輯,但是我們在background.js 發現一個網站的鏈接,並且會將插件獲取的資料發送到https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
透過分析manifest.json 文件,可以看到background 使用了/jquery/jquery-3.6.0.min.js,content 使用了/jquery/jquery-3.5.1.min.js,於是我們來聚焦分析這兩個jquery 檔:
我們在jquery/jquery-3.6.0.min.js 中發現了可疑的惡意程式碼,程式碼將瀏覽器中的cookies 透過JSON 處理後傳送到了site : https[:]//aggrtrade-extension[.]com/ statistics_collection/index[.]php。
靜態分析後,為了能夠更準確地分析惡意擴充發送資料的行為,我們開始對擴充進行安裝和調試。 (注意:要在全新的測試環境中進行分析,環境中沒有登入任何帳號,並且將惡意的site 改成自己可控的,避免測試中將敏感資料傳送到攻擊者的伺服器上)
在測試環境中安裝好惡意擴充功能後,開啟任意網站,例如google.com,然後觀察惡意擴充background 中的網路請求,發現Google 的cookies 資料被傳送到了外部伺服器:
我們在Weblog 服務上也看到了惡意擴充功能發送的cookies 資料:
至此,如果攻擊者拿到使用者認證、憑證等訊息,使用瀏覽器擴充劫持cookies,就可以在一些交易網站進行對敲攻擊,竊取使用者的加密資產。
我們再分析下回傳惡意連結https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
涉及網域名稱:aggrtrade-extension[.]com
解析上圖的網域資訊:
.ru 看起來是典型的俄語區用戶,所以大概率是俄羅斯或東歐黑客團夥。
攻擊時間軸:
分析仿冒AGGR (aggr.trade) 的惡意網站aggrtrade-extension[.]com,發現駭客3 年前就開始規劃攻擊:
4 個月前,駭客部署攻擊:
根據InMist 威脅情報合作網絡,我們查到駭客的IP 位於莫斯科,使用srvape.com 提供的VPS,信箱是aggrdev@gmail.com。
部署成功後,駭客便開始在推特上推廣,等待魚兒上鉤。後面的故事大家都知道了,有些用戶安裝了惡意擴展,然後被偷。
下圖是AggrTrade 的官方提醒:
總結
慢霧安全團隊提醒廣大用戶,瀏覽器擴充功能的風險幾乎和直接執行可執行檔一樣大,所以在安裝前一定要仔細審核。同時,小心那些私訊你的人,現在駭客和騙子都喜歡冒充合法、知名項目,以資助、推廣等名義,針對內容創作者進行詐騙。最後,在區塊鏈黑暗森林裡行走,要隨時保持懷疑的態度,確保你安裝的東西是安