Фон

1 березня 2024 року, за словами користувача Twitter @doomxbt, сталася аномальна ситуація з їхніми рахунок Binance, і кошти, ймовірно, були вкрадені:

(https://x.com/doomxbt/status/1763237654965920175)

Спочатку цей інцидент не привернув особливої уваги. Однак 28 травня 2024 року користувач Twitter @Tree_of_Альфа проаналізував і виявив, що жертва @doomxbt, ймовірно, встановила шкідливе розширення Aggr із Веб-магазину Chrome, яке мало багато позитивних відгуків (ми не підтвердили безпосередньо жертву)! Це розширення може вкрасти всі файли cookie з веб-сайтів, які відвідують користувачі, а два місяці тому хтось заплатив впливовим особам за його просування.

(https://x.com/Tree_of_Alpha/status/1795403185349099740)

Останніми днями увага до цього інциденту зросла. Облікові дані жертв, які увійшли в систему, були викрадені, а згодом хакерам вдалося вкрасти криптовалютні активи у жертв шляхом грубого перебору. Багато користувачів консультувалися з командою безпеки SlowMist з цього приводу. Далі ми детально розберемо цю подію атаки, щоб бити на сполох криптоспільноту.

Аналіз

По-перше, нам потрібно знайти це шкідливе розширення. Незважаючи на те, що Google вже видалив шкідливе розширення, ми все ще можемо отримати доступ до деяких історичних даних за допомогою інформації про знімки.

Завантаживши та проаналізувавши розширення, ми знайшли в каталозі кілька JS-файлів: background.js, content.js, jquery-3.6.0.min.js та jquery-3.5.1.min.js.

Під час статичного аналізу ми помітили, що background.js та content.js не містять надто складного коду, а також не мають явної підозрілої логіки коду. Однак у background.js році ми знайшли посилання на веб-сайт, і плагін збирає дані та надсилає їх на https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.

Проаналізувавши файл manifest.json, ми можемо побачити, що background.js використовує /jquery/jquery-3.6.0.min.js, а content.js використовує /jquery/jquery-3.5.1.min.js. Давайте зосередимося на аналізі цих двох файлів jQuery.

Ми виявили підозрілий шкідливий код у jquery/jquery-3.6.0.min.js. Код обробляє файли cookie браузера у форматі JSON та надсилає їх на сайт: https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.

Після статичного аналізу, ордер точніше проаналізувати поведінку шкідливого розширення при відправці даних, починаємо з установки і налагодження розширення. (Примітка: Аналіз повинен проводитися в абсолютно новому тестовому середовищі, де не ввійшли в систему облікові записи, а шкідливий сайт повинен бути змінений на контрольований, щоб уникнути відправки конфіденційних даних на сервер зловмисника.)

Після встановлення шкідливого розширення в тестовому середовищі відкрийте будь-який веб-сайт, наприклад google.com, і спостерігайте за мережевими запитами, зробленими шкідливим розширенням, у фоновому режимі. Ми помітили, що дані файлів cookie від Google надсилаються на зовнішній сервер.

Ми також спостерігали дані файлів cookie, надіслані шкідливим розширенням у службі Weblog.

На цьому етапі, якщо зловмисники отримують доступ до аутентифікації користувача, облікових даних тощо та використовують викрадення файлів cookie розширення браузера, вони можуть провести повторну атаку на певних торгових веб-сайтах, викрадаючи криптовалютні активи користувачів.

Давайте ще раз проаналізуємо шкідливе посилання: https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.

Залучений домен: aggrtrade-extension[.] Com

Проаналізуйте інформацію про доменне ім'я на малюнку вище:

.ru вказує на те, що це, швидше за все, типовий користувач з російськомовного регіону, що свідчить про високу ймовірність причетності російських або східноєвропейських хакерських угруповань.

Хронологія атаки:

Аналіз шкідливого веб-сайту, що імітує AGGR (aggr.trade), aggrtrade-extension[.] com, ми виявили, що хакери почали планувати атаку три роки тому.

4 місяці тому хакери розгорнули атаку:

За даними мережі співпраці з розвідки загроз InMist, ми виявили, що IP-адреса хакера знаходиться в Москві за допомогою VPS, наданого srvape.com. Їхня електронна адреса: aggrdev@gmail.com.

Після успішного розгортання хакер почав просуватися в Twitter, чекаючи, поки нічого не підозрюючі жертви падіння в пастка. Що стосується решти історії, то вона загальновідома – деякі користувачі встановили шкідливе розширення і згодом стали жертвами крадіжки.

Наступне зображення є офіційним попередженням AggrTrade:

Підсумок

Команда безпеки SlowMist повідомляє всім користувачам, що ризик розширень браузера майже такий же значний, як і безпосереднього запуску виконуваних файлів. Тому дуже важливо уважно ознайомитися перед встановленням. Крім того, будьте обережні з тими, хто надсилає вам особисті повідомлення. Сьогодні хакери та шахраї часто видають себе за законні та відомі проєкти, стверджуючи, що пропонують спонсорство чи можливості просування, націлюючись на творців контенту для шахрайства. Нарешті, під час навігації темним лісом блокчейну завжди зберігайте скептичну позицію, щоб переконатися, що те, що ви встановлюєте, є безпечним і не піддається експлуатації хакерами.

Інструкція:

1. Цю статтю відтворено з [ 慢雾科技], оригінальна назва — «Вовк в овечій шкурі | Аналіз крадіжки фальшивих розширень Chrome", авторські права належать оригінальному автору [Mountain&Thinking@Slow Mist Security Team], якщо у вас є будь-які заперечення проти передруку, будь ласка, зв'яжіться з Gate Learn Team, команда впорається з цим у найкоротші терміни згідно з відповідними процедурами.

2. Відмова від відповідальності: Погляди та думки, висловлені в цій статті, відображають лише особисті погляди автора та не є будь-якою інвестиційною порадою.

3. Інші мовні версії статті перекладені командою Gate Learn, не згадані в Gate.io, перекладена стаття не може бути відтворена, поширена або плагіатина.