披着羊皮的狼|虚假 Chrome 扩展盗窃分析

渗透技巧 6个月前 admin
102 0 0

山&Thinking@慢雾安全团队

背景


2024 年 3 月 1 日,据推特用户 @doomxbt 反馈,其币安账户存在异常情况,资金疑似被盗:


披着羊皮的狼|虚假 Chrome 扩展盗窃分析

(https://x.com/doomxbt/status/1763237654965920175)

一开始这个事件没有引起太大关注,但在 2024 年 5 月 28 日,推特用户 @Tree_of_Alpha 分析发现受害者 @doomxbt 疑似安装了一个 Chrome 商店中有很多好评的恶意 Aggr 扩展程序!它可以窃取用户访问的网站上的所有 cookies,并且 2 个月前有人付钱给一些有影响力的人来推广它。


披着羊皮的狼|虚假 Chrome 扩展盗窃分析

 (https://x.com/Tree_of_Alpha/status/1795403185349099740)

这两天此事件关注度提升,有受害者登录后的凭证被盗取,随后黑客通过对敲盗走受害者的加密货币资产,不少用户咨询慢雾安全团队这个问题。接下来我们会具体分析该攻击事件,为加密社区敲响警钟。


分析


首先,我们得找到这个恶意扩展。虽然已经 Google 已经下架了该恶意扩展,但是我们可以通过快照信息看到一些历史数据。


披着羊皮的狼|虚假 Chrome 扩展盗窃分析


下载后进行分析,从目录上 JS 文件是 background.js,content.js,jquery-3.6.0.min.js,jquery-3.5.1.min.js。


静态分析过程中,我们发现 background.js 和 content.js 没有太多复杂的代码,也没有明显的可疑代码逻辑,但是我们在 background.js 发现一个站点的链接,并且会将插件获取的数据发送到 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。

 

披着羊皮的狼|虚假 Chrome 扩展盗窃分析


通过分析 manifest.json 文件,可以看到 background 使用了 /jquery/jquery-3.6.0.min.js,content 使用了 /jquery/jquery-3.5.1.min.js,于是我们来聚焦分析这两个 jquery 文件:


披着羊皮的狼|虚假 Chrome 扩展盗窃分析


我们在 jquery/jquery-3.6.0.min.js 中发现了可疑的恶意代码,代码将浏览器中的 cookies 通过 JSON 处理后发送到了 site : https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。

披着羊皮的狼|虚假 Chrome 扩展盗窃分析


静态分析后,为了能够更准确地分析恶意扩展发送数据的行为,我们开始对扩展进行安装和调试。(注意:要在全新的测试环境中进行分析,环境中没有登录任何账号,并且将恶意的 site 改成自己可控的,避免测试中将敏感数据发送到攻击者的服务器上)


在测试环境中安装好恶意扩展后,打开任意网站,比如 google.com,然后观察恶意扩展 background 中的网络请求,发现 Google 的 cookies 数据被发送到了外部服务器:


披着羊皮的狼|虚假 Chrome 扩展盗窃分析


我们在 Weblog 服务上也看到了恶意扩展发送的 cookies 数据:


披着羊皮的狼|虚假 Chrome 扩展盗窃分析


至此,如果攻击者拿到用户认证、凭证等信息,使用浏览器扩展劫持 cookies,就可以在一些交易网站进行对敲攻击,盗窃用户的加密资产。


我们再分析下回传恶意链接 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。

涉及域名:aggrtrade-extension[.]com


披着羊皮的狼|虚假 Chrome 扩展盗窃分析


解析上图的域名信息:


披着羊皮的狼|虚假 Chrome 扩展盗窃分析


.ru 看起来是典型的俄语区用户,所以大概率是俄罗斯或东欧黑客团伙。


攻击时间线:

 

分析仿冒 AGGR (aggr.trade) 的恶意网站 aggrtrade-extension[.]com,发现黑客 3 年前就开始谋划攻击:


披着羊皮的狼|虚假 Chrome 扩展盗窃分析


披着羊皮的狼|虚假 Chrome 扩展盗窃分析


4 个月前,黑客部署攻击:


披着羊皮的狼|虚假 Chrome 扩展盗窃分析


披着羊皮的狼|虚假 Chrome 扩展盗窃分析


披着羊皮的狼|虚假 Chrome 扩展盗窃分析


根据 InMist 威胁情报合作网络,我们查到黑客的 IP 位于莫斯科,使用 srvape.com 提供的 VPS ,邮箱是 [email protected]

披着羊皮的狼|虚假 Chrome 扩展盗窃分析


部署成功后,黑客便开始在推特上推广,等待鱼儿上钩。后面的故事大家都知道了,一些用户安装了恶意扩展,然后被盗。


下图是 AggrTrade 的官方提醒:


披着羊皮的狼|虚假 Chrome 扩展盗窃分析

 

总结


慢雾安全团队提醒广大用户,浏览器扩展的风险几乎和直接运行可执行文件一样大,所以在安装前一定要仔细审核。同时,小心那些给你发私信的人,现在黑客和骗子都喜欢冒充合法、知名项目,以资助、推广等名义,针对内容创作者进行诈骗。最后,在区块链黑暗森林里行走,要始终保持怀疑的态度,确保你安装的东西是安全的,不让黑客有机可乘。


往期回顾

「区块链黑暗森林自救手册」韩文版正式发布

Web3 安全入门避坑指南|假钱包与私钥助记词泄露风险

花小钱钓大鱼|揭秘 1155 WBTC 钓鱼事件

每月动态 | Web3 安全事件总损失约 9081 万美元

慢雾(SlowMist) 严正声明

披着羊皮的狼|虚假 Chrome 扩展盗窃分析

慢雾导航


慢雾科技官网

https://www.slowmist.com/


慢雾区官网

https://slowmist.io/


慢雾 GitHub

https://github.com/slowmist


Telegram

https://t.me/slowmistteam


Twitter

https://twitter.com/@slowmist_team


Medium

https://medium.com/@slowmist


知识星球

https://t.zsxq.com/Q3zNvvF

原文始发于微信公众号(慢雾科技):披着羊皮的狼|虚假 Chrome 扩展盗窃分析

版权声明:admin 发表于 2024年5月31日 下午8:57。
转载请注明:披着羊皮的狼|虚假 Chrome 扩展盗窃分析 | CTF导航

相关文章