Background

Em 1º de março de 2024, de acordo com o usuário do Twitter @doomxbt, houve uma situação anormal com sua Binance conta, com fundos suspeitos de terem sido roubados:

(https://x.com/doomxbt/status/1763237654965920175)

Inicialmente, este incidente não atraiu muita atenção. No entanto, em 28 de maio de 2024, o usuário do Twitter @Tree_of_Alfa analisou e descobriu que a vítima, @doomxbt, provavelmente instalou uma extensão Aggr maliciosa da Chrome Web Store, que teve muitas avaliações positivas (não confirmamos diretamente com a vítima)! Esta extensão pode roubar todos os cookies de sites visitados pelos utilizadores e, há dois meses, alguém pagou a indivíduos influentes para a promover.

(https://x.com/Tree_of_Alpha/status/1795403185349099740)

Nos últimos dias, a atenção sobre este incidente aumentou. As credenciais das vítimas que faziam login foram roubadas e, posteriormente, os hackers conseguiram roubar ativos de criptomoedas das vítimas por força bruta. Muitos usuários consultaram a equipe de segurança do SlowMist sobre esse problema. Em seguida, analisaremos esse evento de ataque em detalhes para soar o alarme para a comunidade cripto.

Análise

Em primeiro lugar, precisamos encontrar esta extensão maliciosa. Embora o Google já tenha removido a extensão maliciosa, ainda podemos acessar alguns dados históricos por meio de informações de instantâneo.

Depois de baixar e analisar a extensão, encontramos vários arquivos JS no diretório: background.js, content.js, jquery-3.6.0.min.js e jquery-3.5.1.min.js.

Durante a análise estática, observamos que background.js e content.js não contêm código excessivamente complexo, nem têm qualquer lógica de código suspeita óbvia. No entanto, em background.js, encontramos um link para um site, e o plugin coleta dados e os envia para https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] php.

Ao analisar o arquivo manifest.json, podemos ver que background.js usa /jquery/jquery-3.6.0.min.js e content.js usa /jquery/jquery-3.5.1.min.js. Vamos nos concentrar na análise desses dois arquivos jQuery.

Descobrimos código malicioso suspeito no jquery/jquery-3.6.0.min.js. O código processa os cookies do navegador no formato JSON e os envia para o site: https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] php.

Após a análise estática, a ordem de analisar com mais precisão o comportamento da extensão maliciosa no envio de dados, começamos por instalar e depurar a extensão. (Observação: a análise deve ser conduzida em um ambiente de teste completamente novo, onde nenhuma conta está conectada, e o site mal-intencionado deve ser alterado para um controlado para evitar o envio de dados confidenciais para o servidor do invasor.)

Uma vez que a extensão maliciosa é instalada no ambiente de teste, abra qualquer site, como google.com, e observe as solicitações de rede feitas pela extensão maliciosa em segundo plano. Observamos que os dados de cookies do Google estão sendo enviados para um servidor externo.

Também observamos os dados de cookies enviados pela extensão maliciosa no serviço Weblog.

Neste ponto, se os atacantes obtiverem acesso à autenticação do usuário, credenciais, etc., e utilizarem o sequestro de cookies de extensão do navegador, eles podem realizar um ataque de repetição em certos sites de negociação, roubando os ativos de criptomoeda dos usuários.

Vamos analisar o link malicioso novamente: https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] php.

Domínio envolvido: aggrtrade-extension[.] com

Analise as informações do nome de domínio na imagem acima:

.ru indica que é provavelmente um usuário típico da região de língua russa, sugerindo uma alta probabilidade de envolvimento de grupos de hackers russos ou do Leste Europeu.

Linha do Tempo do Ataque:

Analisando o site malicioso imitando AGGR (aggr.trade), aggrtrade-extension[.] com, descobrimos que os hackers começaram a planejar o ataque há três anos.

Há 4 meses, os hackers implementaram o ataque:

De acordo com a rede de cooperação de inteligência de ameaças InMist, descobrimos que o IP do hacker está localizado em Moscou, utilizando um VPS fornecido pela srvape.com. Seu e-mail é aggrdev@gmail.com.

Depois de implantar com sucesso, o hacker começou a promover no Twitter, esperando que vítimas desavisadas cair para o armadilha. Quanto ao resto da história, é bem conhecido - alguns utilizadores instalaram a extensão maliciosa e, posteriormente, foram vítimas de roubo.

A seguinte imagem é o aviso oficial da AggrTrade:

Resumo

A equipe de segurança do SlowMist aconselha todos os usuários que o risco de extensões de navegador é quase tão significativo quanto executar arquivos executáveis diretamente. Portanto, é crucial revisar cuidadosamente antes de instalar. Além disso, tenha cuidado com aqueles que lhe enviam mensagens privadas. Hoje em dia, hackers e golpistas muitas vezes se passam por projetos legítimos e bem conhecidos, alegando oferecer oportunidades de patrocínio ou promoção, visando criadores de conteúdo para golpes. Finalmente, ao navegar na floresta escura do blockchain, mantenha sempre uma atitude cética para garantir que o que você instala é seguro e não suscetível à exploração por hackers.

Statement:

1. Este artigo é reproduzido de [ 慢雾科技], o título original é "Wolf in Sheep's Clothing | Fake Chrome Extension Theft Analysis", os direitos autorais pertencem ao autor original [Mountain&Thinking@Slow Mist Security Team], se você tiver alguma objeção à reimpressão, entre em contato com Gate Learn Team, a equipa tratará do assunto o mais rapidamente possível, de acordo com os procedimentos pertinentes.

2. Declaração de exoneração de responsabilidade: Os pontos de vista e opiniões expressos neste artigo representam apenas os pontos de vista pessoais do autor e não constituem qualquer conselho de investimento.

3. Outras versões linguísticas do artigo são traduzidas pela equipa do Gate Learn, não mencionadas em Gate.io, o artigo traduzido não pode ser reproduzido, distribuído ou plagiado.