錯誤的鉻擴展程式竊取分析

背景

2024 年 3 月 1 日，根據 Twitter 使用者 @doomxbt，他們的幣安帳戶出現了異常情況，資金涉嫌被盜：

（https://x.com/doomxbt/status/1763237654965920175）

最初，這一事件並沒有引起太多關注。然而，在 2024 年 5 月 28 日，Twitter 使用者 @Tree_of_阿爾法 分析發現受害者 @doomxbt，可能安裝了來自 Chrome 網上應用店的惡意 Aggr 擴展程式，該擴展程式有很多正面評價（我們沒有直接與受害者確認）！此擴展程式可以從使用者訪問的網站中竊取所有cookie，兩個月前，有人付錢給有影響力的人來推廣它。

（https://x.com/Tree_of_Alpha/status/1795403185349099740）

連日來，對這一事件的關注度越來越高。登錄的受害者憑據被盜，隨後，駭客設法通過暴力破解從受害者那裡竊取加密貨幣資產。許多用戶已經就此問題諮詢了SlowMist安全團隊。接下來，我們將詳細分析此攻擊事件，為加密社區敲響警鐘。

分析

首先，我們需要找到這個惡意擴展。雖然谷歌已經刪除了惡意擴展，但我們還是可以通過快照資訊訪問一些歷史數據。

下載並分析擴展后，我們在目錄中發現了幾個JS檔：background.js，content.js，jquery-3.6.0.min.js和jquery-3.5.1.min.js。

在靜態分析過程中，我們觀察到background.js和content.js不包含過於複雜的代碼，也沒有任何明顯的可疑代碼邏輯。但是，在background.js中，我們發現了一個網站的連結，該外掛程式收集數據並將其發送到HTTPs[：]//aggrtrade-extension[.]。com/statistics_collection/index[.]噗嗤。

通過分析manifest.json文件，我們可以看到background.js使用 /jquery/jquery-3.6.0.min.js，content.js使用 /jquery/jquery-3.5.1.min.js。讓我們專注於分析這兩個jQuery檔。

我們在jquery/jquery-3.6.0.min.js中發現了可疑的惡意代碼。代碼將瀏覽器cookie處理為JSON格式，並將它們發送到網站：HTTPs[：]//aggrtrade-extension[.]com/statistics_collection/index[.]噗嗤。

在靜態分析之後，單子為了更準確地分析惡意擴展在發送數據時的行為，我們首先安裝和調試擴展。（注意：分析應在全新的測試環境中進行，該環境沒有登錄任何帳戶，並且應將惡意網站更改為受控網站，以避免將敏感數據發送到攻擊者的伺服器。

在測試環境中安裝惡意擴展后，打開任意網站（如 google.com），並在後台觀察惡意擴展發出的網路請求。我們觀察到來自谷歌的cookie數據正在發送到外部伺服器。

我們還觀察到惡意擴展在博客服務上發送的cookie數據。

此時，如果攻擊者獲得使用者身份驗證、憑據等的訪問許可權，並利用瀏覽器擴展cookie劫持，他們可以對某些交易網站進行重播攻擊，竊取使用者的加密貨幣資產。

讓我們再次分析惡意鏈接：HTTPs[：]//aggrtrade-extension[.]com/statistics_collection/index[.]噗嗤。

涉及的領域：aggrtrade-extension[.]com

解析上圖中的域名資訊：

.ru 表明它很可能是來自俄語地區的典型使用者，這表明俄羅斯或東歐駭客組織參與的可能性很高。

攻擊時間線：

分析惡意網站模仿AGGR（aggr.trade），aggrtrade-extension[.]Com，我們發現駭客在三年前就開始計劃攻擊。

4個月前，駭客部署了攻擊：

根據InMist威脅情報合作網路，我們發現駭客的IP位於莫斯科，利用 srvape.com 提供的VPS。他們的電子郵件是aggrdev@gmail.com。

部署成功后，駭客開始在推特上推廣，等待毫無戒心的受害者跌進入套住。至於故事的其餘部分，它是眾所周知的——一些使用者安裝了惡意擴展程式，隨後成為盜竊的受害者。

下圖是AggrTrade的官方警告：

Summary

SlowMist 安全團隊建議所有使用者，瀏覽器擴展的風險幾乎與直接運行可執行檔一樣大。因此，在安裝前仔細檢查至關重要。另外，要小心那些向您發送私人消息的人。如今，駭客和詐騙者經常冒充合法和知名的專案，聲稱提供贊助或推廣機會，針對內容創作者進行詐騙。最後，在瀏覽區塊鏈的黑暗森林時，請始終保持懷疑的態度，以確保您安裝的內容是安全的，並且不容易受到駭客的利用。

語句：

1. 本文轉載自 [慢雾科技]，原標題為《披著羊皮的狼|假Chrome擴展程式盜竊分析“，版權歸原作者所有[Mountain&Thinking@Slow 霧安全團隊]，如果您對轉載有任何異議，請聯繫Gate Learn Team，團隊將按照相關程序儘快處理。

2. 免責聲明：本文表達的觀點和意見僅代表作者個人觀點，不構成任何投資建議。

3. 文章的其他語言版本由Gate Learn團隊翻譯，未在Gate.com 中提及，翻譯后的文章不得複製，分發或抄襲。