เมื่อวันที่ 1 มีนาคม 2024 ตามผู้ใช้ Twitter @doomxbt มีสถานการณ์ผิดปกติกับบัญชี Binance ของพวกเขาโดยสงสัยว่าเงินถูกขโมย:
(https://x.com/doomxbt/status/1763237654965920175)
ในขั้นต้นเหตุการณ์นี้ไม่ได้ดึงดูดความสนใจมากนัก อย่างไรก็ตาม เมื่อวันที่ 28 พฤษภาคม 2024 ผู้ใช้ Twitter @Tree_of_Alpha วิเคราะห์และพบว่าเหยื่อ @doomxbt น่าจะติดตั้งส่วนขยาย Aggr ที่เป็นอันตรายจาก Chrome เว็บสโตร์ ซึ่งมีบทวิจารณ์เชิงบวกมากมาย (เราไม่ได้ยืนยันโดยตรงกับเหยื่อ)! ส่วนขยายนี้สามารถขโมยคุกกี้ทั้งหมดจากเว็บไซต์ที่ผู้ใช้เข้าชมและเมื่อสองเดือนก่อนมีคนจ่ายเงินให้กับผู้มีอิทธิพลเพื่อโปรโมต
(https://x.com/Tree_of_Alpha/status/1795403185349099740)
ในช่วงไม่กี่วันที่ผ่านมาความสนใจในเหตุการณ์นี้เพิ่มขึ้น ข้อมูลประจําตัวของเหยื่อที่เข้าสู่ระบบถูกขโมยและต่อมาแฮกเกอร์สามารถขโมยทรัพย์สินสกุลเงินดิจิทัลจากเหยื่อโดยการบังคับเดรัจฉาน ผู้ใช้หลายคนได้ปรึกษาทีมรักษาความปลอดภัย SlowMist เกี่ยวกับปัญหานี้ ต่อไปเราจะวิเคราะห์เหตุการณ์การโจมตีนี้โดยละเอียดเพื่อส่งเสียงเตือนสําหรับชุมชน crypto
ประการแรกเราต้องค้นหาส่วนขยายที่เป็นอันตรายนี้ แม้ว่า Google จะลบส่วนขยายที่เป็นอันตรายออกไปแล้ว แต่เรายังคงสามารถเข้าถึงข้อมูลในอดีตบางอย่างผ่านข้อมูลสแนปชอตได้
หลังจากดาวน์โหลดและวิเคราะห์ส่วนขยายเราพบไฟล์ JS หลายไฟล์ในไดเร็กทอรี: background.js, content.js, jquery-3.6.0.min.js และ jquery-3.5.1.min.js
ในระหว่างการวิเคราะห์แบบคงที่เราสังเกตว่า background.js และ content.js ไม่มีรหัสที่ซับซ้อนเกินไปและไม่มีตรรกะรหัสที่น่าสงสัยอย่างชัดเจน อย่างไรก็ตามในปี background.js เราพบลิงก์ไปยังเว็บไซต์และปลั๊กอินรวบรวมข้อมูลและส่งไปยัง https[:]//aggrtrade-extension[.] com/statistics_collection/ดัชนี[.] Php
จากการวิเคราะห์ไฟล์ manifest.json เราจะเห็นว่า background.js ใช้ /jquery/jquery-3.6.0.min.js และ content.js ใช้ /jquery/jquery-3.5.1.min.js เรามาเน้นการวิเคราะห์ไฟล์ jQuery สองไฟล์นี้กัน
เราได้ค้นพบรหัสที่เป็นอันตรายที่น่าสงสัยใน jquery / jquery-3.6.0.min.js รหัสประมวลผลคุกกี้เบราว์เซอร์เป็นรูปแบบ JSON และส่งไปยังไซต์: https[:]//aggrtrade-extension[.] com/statistics_collection/ดัชนี[.] Php
หลังจากการวิเคราะห์แบบคงที่เพื่อวิเคราะห์พฤติกรรมของส่วนขยายที่เป็นอันตรายในการส่งข้อมูลได้อย่างแม่นยํายิ่งขึ้นเราเริ่มต้นด้วยการติดตั้งและดีบักส่วนขยาย (หมายเหตุ: การวิเคราะห์ควรดําเนินการในสภาพแวดล้อมการทดสอบใหม่ทั้งหมดที่ไม่มีบัญชีเข้าสู่ระบบและไซต์ที่เป็นอันตรายควรเปลี่ยนเป็นไซต์ที่มีการควบคุมเพื่อหลีกเลี่ยงการส่งข้อมูลที่ละเอียดอ่อนไปยังเซิร์ฟเวอร์ของผู้โจมตี)
เมื่อติดตั้งส่วนขยายที่เป็นอันตรายในสภาพแวดล้อมการทดสอบแล้วให้เปิดเว็บไซต์ใด ๆ เช่น google.com และสังเกตคําขอเครือข่ายที่ทําโดยส่วนขยายที่เป็นอันตรายในพื้นหลัง เราสังเกตเห็นว่าข้อมูลคุกกี้จาก Google กําลังถูกส่งไปยังเซิร์ฟเวอร์ภายนอก
นอกจากนี้เรายังสังเกตเห็นข้อมูลคุกกี้ที่ส่งโดยส่วนขยายที่เป็นอันตรายในบริการเว็บบล็อก
ณ จุดนี้หากผู้โจมตีสามารถเข้าถึงการรับรองความถูกต้องของผู้ใช้ข้อมูลประจําตัว ฯลฯ และใช้การจี้คุกกี้ส่วนขยายเบราว์เซอร์พวกเขาสามารถทําการโจมตีซ้ําในเว็บไซต์ซื้อขายบางแห่งขโมยสินทรัพย์สกุลเงินดิจิทัล
ของผู้ใช้มาวิเคราะห์ลิงก์ที่เป็นอันตรายอีกครั้ง: https[:]//aggrtrade-extension[.] com/statistics_collection/ดัชนี[.] Php
โดเมนที่เกี่ยวข้อง: aggrtrade-extension[.] Com
แยกวิเคราะห์ข้อมูลชื่อโดเมนในภาพด้านบน:
.ru บ่งชี้ว่าน่าจะเป็นผู้ใช้ทั่วไปจากภูมิภาคที่พูดภาษารัสเซียซึ่งชี้ให้เห็นถึงความเป็นไปได้สูงที่จะมีส่วนร่วมโดยกลุ่มแฮ็กเกอร์ชาวรัสเซียหรือยุโรปตะวันออก
ไทม์ไลน์การโจมตี:
การวิเคราะห์เว็บไซต์ที่เป็นอันตรายเลียนแบบ AGGR (aggr.trade), aggrtrade-extension[.] เราพบว่าแฮกเกอร์เริ่มวางแผนการโจมตีเมื่อสามปีก่อน
4 เดือนที่ผ่านมาแฮกเกอร์ใช้การโจมตี:
ตามเครือข่ายความร่วมมือด้านข่าวกรองภัยคุกคาม InMist เราพบว่า IP ของแฮ็กเกอร์ตั้งอยู่ในมอสโกโดยใช้ VPS ที่ srvape.com จัดหาให้ อีเมลของพวกเขาคือ aggrdev@gmail.com
หลังจากปรับใช้สําเร็จแฮ็กเกอร์ก็เริ่มโปรโมตบน Twitter รอให้เหยื่อที่ไม่สงสัยตกหลุมพราง สําหรับส่วนที่เหลือของเรื่องราวเป็นที่รู้จักกันดี - ผู้ใช้บางคนติดตั้งส่วนขยายที่เป็นอันตรายและต่อมาตกเป็นเหยื่อของการโจรกรรม
ภาพต่อไปนี้เป็นคําเตือนอย่างเป็นทางการของ AggrTrade:
ทีมรักษาความปลอดภัย SlowMist แนะนําผู้ใช้ทุกคนว่าความเสี่ยงของส่วนขยายเบราว์เซอร์นั้นมีความสําคัญเกือบเท่ากับการเรียกใช้ไฟล์ปฏิบัติการโดยตรง ดังนั้นจึงเป็นเรื่องสําคัญที่จะต้องตรวจสอบอย่างรอบคอบก่อนติดตั้ง นอกจากนี้โปรดระวังผู้ที่ส่งข้อความส่วนตัวถึงคุณ ทุกวันนี้แฮกเกอร์และนักต้มตุ๋นมักปลอมตัวเป็นโครงการที่ถูกกฎหมายและเป็นที่รู้จักโดยอ้างว่าเสนอสปอนเซอร์หรือโอกาสในการโปรโมตโดยกําหนดเป้าหมายไปที่ผู้สร้างเนื้อหาเพื่อหลอกลวง สุดท้ายเมื่อสํารวจป่ามืดของบล็อกเชนให้รักษาทัศนคติที่ไม่เชื่อเสมอเพื่อให้แน่ใจว่าสิ่งที่คุณติดตั้งนั้นปลอดภัยและไม่เสี่ยงต่อการถูกแฮ็กเกอร์เอาเปรียบ
บทความนี้ทําซ้ําจาก [ 慢雾科技] ชื่อเดิมคือ "หมาป่าในเสื้อผ้าแกะ | การวิเคราะห์การโจรกรรมส่วนขยายของ Chrome ปลอม" ลิขสิทธิ์เป็นของผู้เขียนต้นฉบับ [Mountain&Thinking@Slow Mist Security Team] หากคุณมีการคัดค้านการพิมพ์ซ้ําโปรดติดต่อ Gate Learn Teamทีมงานจะจัดการโดยเร็วที่สุดตามขั้นตอนที่เกี่ยวข้อง
ข้อจํากัดความรับผิดชอบ: มุมมองและความคิดเห็นที่แสดงในบทความนี้แสดงถึงมุมมองส่วนตัวของผู้เขียนเท่านั้นและไม่ถือเป็นคําแนะนําการลงทุนใด ๆ
บทความเวอร์ชันภาษาอื่น ๆ ได้รับการแปลโดยทีม Gate Learn ซึ่งไม่ได้กล่าวถึงใน Gate.io บทความที่แปลแล้วไม่สามารถทําซ้ําแจกจ่ายหรือลอกเลียนแบบได้
เมื่อวันที่ 1 มีนาคม 2024 ตามผู้ใช้ Twitter @doomxbt มีสถานการณ์ผิดปกติกับบัญชี Binance ของพวกเขาโดยสงสัยว่าเงินถูกขโมย:
(https://x.com/doomxbt/status/1763237654965920175)
ในขั้นต้นเหตุการณ์นี้ไม่ได้ดึงดูดความสนใจมากนัก อย่างไรก็ตาม เมื่อวันที่ 28 พฤษภาคม 2024 ผู้ใช้ Twitter @Tree_of_Alpha วิเคราะห์และพบว่าเหยื่อ @doomxbt น่าจะติดตั้งส่วนขยาย Aggr ที่เป็นอันตรายจาก Chrome เว็บสโตร์ ซึ่งมีบทวิจารณ์เชิงบวกมากมาย (เราไม่ได้ยืนยันโดยตรงกับเหยื่อ)! ส่วนขยายนี้สามารถขโมยคุกกี้ทั้งหมดจากเว็บไซต์ที่ผู้ใช้เข้าชมและเมื่อสองเดือนก่อนมีคนจ่ายเงินให้กับผู้มีอิทธิพลเพื่อโปรโมต
(https://x.com/Tree_of_Alpha/status/1795403185349099740)
ในช่วงไม่กี่วันที่ผ่านมาความสนใจในเหตุการณ์นี้เพิ่มขึ้น ข้อมูลประจําตัวของเหยื่อที่เข้าสู่ระบบถูกขโมยและต่อมาแฮกเกอร์สามารถขโมยทรัพย์สินสกุลเงินดิจิทัลจากเหยื่อโดยการบังคับเดรัจฉาน ผู้ใช้หลายคนได้ปรึกษาทีมรักษาความปลอดภัย SlowMist เกี่ยวกับปัญหานี้ ต่อไปเราจะวิเคราะห์เหตุการณ์การโจมตีนี้โดยละเอียดเพื่อส่งเสียงเตือนสําหรับชุมชน crypto
ประการแรกเราต้องค้นหาส่วนขยายที่เป็นอันตรายนี้ แม้ว่า Google จะลบส่วนขยายที่เป็นอันตรายออกไปแล้ว แต่เรายังคงสามารถเข้าถึงข้อมูลในอดีตบางอย่างผ่านข้อมูลสแนปชอตได้
หลังจากดาวน์โหลดและวิเคราะห์ส่วนขยายเราพบไฟล์ JS หลายไฟล์ในไดเร็กทอรี: background.js, content.js, jquery-3.6.0.min.js และ jquery-3.5.1.min.js
ในระหว่างการวิเคราะห์แบบคงที่เราสังเกตว่า background.js และ content.js ไม่มีรหัสที่ซับซ้อนเกินไปและไม่มีตรรกะรหัสที่น่าสงสัยอย่างชัดเจน อย่างไรก็ตามในปี background.js เราพบลิงก์ไปยังเว็บไซต์และปลั๊กอินรวบรวมข้อมูลและส่งไปยัง https[:]//aggrtrade-extension[.] com/statistics_collection/ดัชนี[.] Php
จากการวิเคราะห์ไฟล์ manifest.json เราจะเห็นว่า background.js ใช้ /jquery/jquery-3.6.0.min.js และ content.js ใช้ /jquery/jquery-3.5.1.min.js เรามาเน้นการวิเคราะห์ไฟล์ jQuery สองไฟล์นี้กัน
เราได้ค้นพบรหัสที่เป็นอันตรายที่น่าสงสัยใน jquery / jquery-3.6.0.min.js รหัสประมวลผลคุกกี้เบราว์เซอร์เป็นรูปแบบ JSON และส่งไปยังไซต์: https[:]//aggrtrade-extension[.] com/statistics_collection/ดัชนี[.] Php
หลังจากการวิเคราะห์แบบคงที่เพื่อวิเคราะห์พฤติกรรมของส่วนขยายที่เป็นอันตรายในการส่งข้อมูลได้อย่างแม่นยํายิ่งขึ้นเราเริ่มต้นด้วยการติดตั้งและดีบักส่วนขยาย (หมายเหตุ: การวิเคราะห์ควรดําเนินการในสภาพแวดล้อมการทดสอบใหม่ทั้งหมดที่ไม่มีบัญชีเข้าสู่ระบบและไซต์ที่เป็นอันตรายควรเปลี่ยนเป็นไซต์ที่มีการควบคุมเพื่อหลีกเลี่ยงการส่งข้อมูลที่ละเอียดอ่อนไปยังเซิร์ฟเวอร์ของผู้โจมตี)
เมื่อติดตั้งส่วนขยายที่เป็นอันตรายในสภาพแวดล้อมการทดสอบแล้วให้เปิดเว็บไซต์ใด ๆ เช่น google.com และสังเกตคําขอเครือข่ายที่ทําโดยส่วนขยายที่เป็นอันตรายในพื้นหลัง เราสังเกตเห็นว่าข้อมูลคุกกี้จาก Google กําลังถูกส่งไปยังเซิร์ฟเวอร์ภายนอก
นอกจากนี้เรายังสังเกตเห็นข้อมูลคุกกี้ที่ส่งโดยส่วนขยายที่เป็นอันตรายในบริการเว็บบล็อก
ณ จุดนี้หากผู้โจมตีสามารถเข้าถึงการรับรองความถูกต้องของผู้ใช้ข้อมูลประจําตัว ฯลฯ และใช้การจี้คุกกี้ส่วนขยายเบราว์เซอร์พวกเขาสามารถทําการโจมตีซ้ําในเว็บไซต์ซื้อขายบางแห่งขโมยสินทรัพย์สกุลเงินดิจิทัล
ของผู้ใช้มาวิเคราะห์ลิงก์ที่เป็นอันตรายอีกครั้ง: https[:]//aggrtrade-extension[.] com/statistics_collection/ดัชนี[.] Php
โดเมนที่เกี่ยวข้อง: aggrtrade-extension[.] Com
แยกวิเคราะห์ข้อมูลชื่อโดเมนในภาพด้านบน:
.ru บ่งชี้ว่าน่าจะเป็นผู้ใช้ทั่วไปจากภูมิภาคที่พูดภาษารัสเซียซึ่งชี้ให้เห็นถึงความเป็นไปได้สูงที่จะมีส่วนร่วมโดยกลุ่มแฮ็กเกอร์ชาวรัสเซียหรือยุโรปตะวันออก
ไทม์ไลน์การโจมตี:
การวิเคราะห์เว็บไซต์ที่เป็นอันตรายเลียนแบบ AGGR (aggr.trade), aggrtrade-extension[.] เราพบว่าแฮกเกอร์เริ่มวางแผนการโจมตีเมื่อสามปีก่อน
4 เดือนที่ผ่านมาแฮกเกอร์ใช้การโจมตี:
ตามเครือข่ายความร่วมมือด้านข่าวกรองภัยคุกคาม InMist เราพบว่า IP ของแฮ็กเกอร์ตั้งอยู่ในมอสโกโดยใช้ VPS ที่ srvape.com จัดหาให้ อีเมลของพวกเขาคือ aggrdev@gmail.com
หลังจากปรับใช้สําเร็จแฮ็กเกอร์ก็เริ่มโปรโมตบน Twitter รอให้เหยื่อที่ไม่สงสัยตกหลุมพราง สําหรับส่วนที่เหลือของเรื่องราวเป็นที่รู้จักกันดี - ผู้ใช้บางคนติดตั้งส่วนขยายที่เป็นอันตรายและต่อมาตกเป็นเหยื่อของการโจรกรรม
ภาพต่อไปนี้เป็นคําเตือนอย่างเป็นทางการของ AggrTrade:
ทีมรักษาความปลอดภัย SlowMist แนะนําผู้ใช้ทุกคนว่าความเสี่ยงของส่วนขยายเบราว์เซอร์นั้นมีความสําคัญเกือบเท่ากับการเรียกใช้ไฟล์ปฏิบัติการโดยตรง ดังนั้นจึงเป็นเรื่องสําคัญที่จะต้องตรวจสอบอย่างรอบคอบก่อนติดตั้ง นอกจากนี้โปรดระวังผู้ที่ส่งข้อความส่วนตัวถึงคุณ ทุกวันนี้แฮกเกอร์และนักต้มตุ๋นมักปลอมตัวเป็นโครงการที่ถูกกฎหมายและเป็นที่รู้จักโดยอ้างว่าเสนอสปอนเซอร์หรือโอกาสในการโปรโมตโดยกําหนดเป้าหมายไปที่ผู้สร้างเนื้อหาเพื่อหลอกลวง สุดท้ายเมื่อสํารวจป่ามืดของบล็อกเชนให้รักษาทัศนคติที่ไม่เชื่อเสมอเพื่อให้แน่ใจว่าสิ่งที่คุณติดตั้งนั้นปลอดภัยและไม่เสี่ยงต่อการถูกแฮ็กเกอร์เอาเปรียบ
บทความนี้ทําซ้ําจาก [ 慢雾科技] ชื่อเดิมคือ "หมาป่าในเสื้อผ้าแกะ | การวิเคราะห์การโจรกรรมส่วนขยายของ Chrome ปลอม" ลิขสิทธิ์เป็นของผู้เขียนต้นฉบับ [Mountain&Thinking@Slow Mist Security Team] หากคุณมีการคัดค้านการพิมพ์ซ้ําโปรดติดต่อ Gate Learn Teamทีมงานจะจัดการโดยเร็วที่สุดตามขั้นตอนที่เกี่ยวข้อง
ข้อจํากัดความรับผิดชอบ: มุมมองและความคิดเห็นที่แสดงในบทความนี้แสดงถึงมุมมองส่วนตัวของผู้เขียนเท่านั้นและไม่ถือเป็นคําแนะนําการลงทุนใด ๆ
บทความเวอร์ชันภาษาอื่น ๆ ได้รับการแปลโดยทีม Gate Learn ซึ่งไม่ได้กล่าวถึงใน Gate.io บทความที่แปลแล้วไม่สามารถทําซ้ําแจกจ่ายหรือลอกเลียนแบบได้