近日,有一名幣安用戶的資金疑似被盜,事後有人分析是因為安裝了一個 Chrome 商店中的惡意 Aggr 擴展套件程式。對此,慢霧安全團隊提醒廣大使用者,在安裝瀏覽器擴展套件前一定要仔細稽核。
(前情提要:DEX遭駭》Velocore損失688萬美元ETH,用戶流動性全歸零,發生什麼?)
(背景補充:Do Kwon、Terraform與SEC的詐欺訴訟已「初步和解」 LUNA聞訊跳漲40%|全案件整理)
2024 年 3 月 1 日,據推特使用者 @doomxbt 回饋,其幣安帳戶存在異常情況,資金疑似被盜:
一開始這個事件沒有引起太大關注,但在 2024 年 5 月 28 日,推特使用者 @Tree_of_Alpha 分析發現受害者 @doomxbt 疑似安裝了一個 Chrome 商店中有很多好評的惡意 Aggr 擴展套件程式!它可以竊取使用者訪問的網站上的所有 cookies,並且 2 個月前有人付錢給一些有影響力的人來推廣它。
這兩天此事件關注度提升,有受害者登入後的憑證被盜取,隨後駭客通過對敲盜走受害者的加密貨幣資產,不少使用者諮詢慢霧安全團隊這個問題。接下來我們會具體分析該攻擊事件,為加密社群敲響警鐘。
分析
首先,我們得找到這個惡意擴展套件。雖然已經 Google 已經下架了該惡意擴展套件,但是我們可以通過快照資訊看到一些歷史資料。
下載後進行分析,從目錄上 JS 檔案是 background.js、content.js、jquery-3.6.0.min.js、jquery-3.5.1.min.js。
靜態分析過程中,我們發現 background.js 和 content.js 沒有太多複雜的程式碼,也沒有明顯的可疑程式碼邏輯,但是我們在 background.js 發現一個站點的連結,並且會將外掛獲取的資料傳送到 https [:]//aggrtrade-extension [.] com/statistics_collection/index [.] php。
通過分析 manifest.json 檔案,可以看到 background 使用了 /jquery/jquery-3.6.0.min.js,content 使用了 /jquery/jquery-3.5.1.min.js,於是我們來聚焦分析這兩個 jquery 檔案:
我們在 jquery/jquery-3.6.0.min.js 中發現了可疑的惡意程式碼,程式碼將瀏覽器中的 cookies 通過 JSON 處理後傳送到了 site : https [:]//aggrtrade-extension [.] com/statistics_collection/index [.] php。
靜態分析後,為了能夠更準確地分析惡意擴展套件傳送資料的行為,我們開始對擴展套件進行安裝和除錯。
在測試環境中安裝好惡意擴展套件後,開啟任意網站,比如 google.com,然後觀察惡意擴展套件 background 中的網路請求,發現 Google 的 cookies 資料被髮送到了外部伺服器:
我們在 Weblog 服務上也看到了惡意擴展套件傳送的 cookies 資料:
至此,如果攻擊者拿到使用者認證、憑證等資訊,使用瀏覽器擴展套件劫持 cookies,就可以在一些交易網站進行對敲攻擊,盜竊使用者的加密資產。
我們再分析下回傳惡意連結 https [:]//aggrtrade-extension [.] com/statistics_collection/index [.] php。
涉及域名:aggrtrade-extension [.] com
解析上圖的域名資訊:
.ru 看起來是典型的俄語區使用者,所以大概率是俄羅斯或東歐駭客團伙。
攻擊時間線:
分析仿冒 AGGR (aggr.trade) 的惡意網站 aggrtrade-extension [.] com,發現駭客 3 年前就開始謀劃攻擊:
4 個月前,駭客部署攻擊:
根據 InMist 威脅情報合作網路,我們查到駭客的 IP 位於莫斯科,使用 srvape.com 提供的 VPS ,郵箱是 [email protected]。
部署成功後,駭客便開始在推特上推廣,等待魚兒上鉤。後面的故事大家都知道了,一些使用者安裝了惡意擴展套件,然後被盜。
下圖是 AggrTrade 的官方提醒:
總結
慢霧安全團隊提醒廣大使用者,瀏覽器擴展套件的風險幾乎和直接執行可執行檔案一樣大,所以在安裝前一定要仔細稽核。同時,小心那些給你發私信的人,現在駭客和騙子都喜歡冒充合法、知名專案,以資助、推廣等名義,針對內容創作者進行詐騙。最後,在區塊鏈黑暗森林裡行走,要始終保持懷疑的態度,確保你安裝的東西是安全的,不讓駭客有機可乘。
