Предыстория

1 марта 2024 года, по словам пользователя Twitter @doomxbt, с их счет Binance произошла ненормальная ситуация, когда средства подозревались в краже:

(https://x.com/doomxbt/status/1763237654965920175)

Поначалу этот инцидент не привлек особого внимания. Однако 28 мая 2024 года пользователь Twitter @Tree_of_Альфа проанализировал и обнаружил, что жертва @doomxbt, вероятно, установила вредоносное расширение Aggr из интернет-магазина Chrome, которое получило много положительных отзывов (мы не подтвердили напрямую с жертвой)! Это расширение может украсть все файлы cookie с веб-сайтов, посещаемых пользователями, а два месяца назад кто-то заплатил влиятельным лицам за его продвижение.

(https://x.com/Tree_of_Alpha/status/1795403185349099740)

В последние несколько дней внимание к этому инциденту возросло. Учетные данные жертв, входивших в систему, были украдены, и впоследствии хакерам удалось украсть у жертв криптовалютные активы методом перебора. Многие пользователи консультировались с командой безопасности SlowMist по этому вопросу. Далее мы подробно разберем это событие атаки, чтобы бить тревогу для криптосообщества.

Анализ

Во-первых, нам нужно найти это вредоносное расширение. Несмотря на то, что Google уже удалил вредоносное расширение, мы все еще можем получить доступ к некоторым историческим данным через информацию о снимках.

Скачав и проанализировав расширение, мы обнаружили в каталоге несколько JS-файлов: background.js, content.js, jquery-3.6.0.min.js и jquery-3.5.1.min.js.

В ходе статического анализа мы заметили, что background.js и content.js не содержат слишком сложного кода, а также не имеют явной подозрительной логики кода. Однако в background.js мы нашли ссылку на сайт, и плагин собирает данные и отправляет их на https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.

Проанализировав manifest.json файл, мы видим, что background.js использует /jquery/jquery-3.6.0.min.js, а content.js использует /jquery/jquery-3.5.1.min.js. Давайте сосредоточимся на анализе этих двух jQuery-файлов.

Мы обнаружили подозрительный вредоносный код в jquery/jquery-3.6.0.min.js. Код обрабатывает куки браузера в формате JSON и отправляет их на сайт: https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.

После статического анализа, в ордерах для более точного анализа поведения вредоносного расширения при отправке данных, мы начинаем с установки и отладки расширения. (Примечание: Анализ следует проводить в совершенно новой тестовой среде, где нет учетных записей, а вредоносный сайт должен быть изменен на контролируемый, чтобы избежать отправки конфиденциальных данных на сервер злоумышленника.)

После установки вредоносного расширения в тестовой среде откройте любой веб-сайт, например google.com, и понаблюдайте за сетевыми запросами, выполняемыми вредоносным расширением в фоновом режиме. Мы заметили, что данные файлов cookie от Google отправляются на внешний сервер.

Мы также наблюдали за данными файлов cookie, отправляемыми вредоносным расширением на сервисе Weblog.

На этом этапе, если злоумышленники получат доступ к аутентификации пользователей, учетным данным и т. д. и воспользуются перехватом файлов cookie расширения браузера, они могут провести атаку воспроизведения на определенных торговых сайтах, украв криптовалютные активы пользователей.

Проанализируем вредоносную ссылку еще раз: https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.

Задействованный домен: aggrtrade-extension[.] Com

Проанализируйте информацию о доменном имени на рисунке выше:

.ru указывает на то, что это, скорее всего, типичный пользователь из русскоязычного региона, что предполагает высокую вероятность причастности российских или восточноевропейских хакерских группировок.

Хронология атаки:

Анализ вредоносного сайта, имитирующего AGGR (aggr.trade), aggrtrade-extension[.] com, мы обнаружили, что хакеры начали планировать атаку еще три года назад.

4 месяца назад хакеры развернули атаку:

По данным сети InMist по сотрудничеству в области анализа угроз, мы обнаружили, что IP-адрес хакера находится в Москве, используя VPS, предоставленный srvape.com. Их адрес электронной почты: aggrdev@gmail.com.

После успешного развертывания хакер начал рекламу в Twitter, ожидая, пока ничего не подозревающие жертвы падение в ловушка. Что касается остальной истории, то она хорошо известна – некоторые пользователи установили вредоносное расширение и впоследствии стали жертвами кражи.

Следующее изображение является официальным предупреждением AggrTrade:

Summary

Команда безопасности SlowMist предупреждает всех пользователей о том, что риск расширений браузера почти так же значителен, как и прямой запуск исполняемых файлов. Поэтому очень важно внимательно ознакомиться с ним перед установкой. Кроме того, будьте осторожны с теми, кто отправляет вам личные сообщения. В настоящее время хакеры и мошенники часто выдают себя за законные и известные проекты, утверждая, что предлагают спонсорские или рекламные возможности, нацеливаясь на создателей контента для мошенничества. Наконец, путешествуя по темному лесу блокчейна, всегда сохраняйте скептическое отношение, чтобы убедиться, что то, что вы устанавливаете, безопасно и не подвержено хакерам.

Оператор:

1. Эта статья воспроизводится из [ 慢雾科技], оригинальное название — «Волк в овечьей шкуре | Fake Chrome Extension Theft Analysis", авторские права принадлежат оригинальному автору [Mountain&Thinking@Slow Mist Security Team], если у вас есть какие-либо возражения против перепечатки, пожалуйста, свяжитесь с Gate Learn Team, команда обработает его как можно скорее в соответствии с соответствующими процедурами.

2. Дисклеймер: Взгляды и мнения, выраженные в этой статье, представляют собой только личные взгляды автора и не являются какими-либо инвестиционными рекомендациями.

3. Другие языковые версии статьи переводятся командой Gate Learn, не упомянутые в Gate.io, переведенная статья не может быть воспроизведена, распространена или плагиата.