科普 | 虛假Chrome擴展盜竊分析

24-06-03 17:10

閱讀本文需 11 分鐘

AI 總結

看總結

原文標題：《披著羊皮的狼｜虛假Chrome 擴展盜竊分析》

原文作者：山、Thinking，慢霧安全團隊

背景

2024 年3 月1 日，據推特用戶@doomxbt 回饋，其幣安帳戶有異常情況，資金疑似被盜：

(https:// x.com/doomxbt/status/1763237654965920175)

一開始這個事件沒有引起太大關注，但在2024 年5 月28 日，推特用戶@ Tree_of_Alpha 分析發現受害者@doomxbt 疑似安裝了一個Chrome 商店中有很多好評的惡意Aggr 擴充功能！它可以竊取用戶訪問的網站上的所有 cookies，並且 2 個月前有人付錢給一些有影響力的人來推廣它。

(https:// x.com/Tree_of_Alpha/status/1795403185349099740)

這兩天此事件關注度提升，有受害者登入後的憑證被盜取，隨後駭客通過對敲盜走受害者的加密貨幣資產，不少用戶諮詢慢霧安全團隊這個問題。接下來我們會具體分析該攻擊事件，為加密社群敲響警鐘。

分析

首先，我們得找到這個惡意擴充。雖然已經 Google 已經下架了該惡意擴展，但是我們可以透過快照資訊看到一些歷史資料。

下載後進行分析，從目錄JS 檔案是background.js， content.js，jquery-3.6.0.min.js，jquery-3.5.1.min.js。

靜態分析過程中，我們發現background.js 和content.js 沒有太多複雜的程式碼，也沒有明顯的可疑程式碼邏輯，但我們在background.js 發現一個網站的鏈接，並且會將插件獲取的資料傳送到https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。

透過分析manifest.json 文件，可以看到background 使用了/jquery /jquery-3.6.0.min.js，content 使用了/jquery/jquery-3.5.1.min.js，於是我們來聚焦分析這兩個jquery 檔案：

我們在jquery/jquery-3.6.0.min.js 中發現了可疑的惡意程式碼，程式碼將瀏覽器中的cookies 透過JSON 處理後發送到了site : https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。

靜態分析後，為了能夠更準確地分析惡意擴充發送資料的行為，我們開始對擴充進行安裝和調試。（注意：要在全新的測試環境中進行分析，環境中沒有登入任何帳號，並且將惡意的site 改成自己可控的，避免測試中將敏感資料傳送到攻擊者的伺服器上）

在測試環境中安裝惡意擴充功能後，開啟任意網站，例如google.com，然後觀察惡意擴充background 中的網路要求，發現Google 的cookies 資料被傳送到了外部伺服器：

我們在Weblog 服務上也看到了惡意擴充功能發送的cookies 資料：

至此，若攻擊者拿到使用者認證、憑證等訊息，使用瀏覽器擴充劫持cookies，就可以在一些交易網站進行對敲攻擊，盜竊用戶的加密資產。

我們再分析下回傳惡意連結 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。

涉及網域：aggrtrade-extension[.]com

解析上圖的網域資訊：

.ru 看起來是典型的俄語區用戶，所以大概率是俄羅斯或東歐黑客團夥。

攻擊時間軸：

分析仿冒AGGR (aggr.trade) 的惡意網站aggrtrade -extension[.]com，發現駭客3 年前就開始規劃攻擊：

4 個月前，駭客部署攻擊：

根據InMist 威脅情報合作網絡，我們查到駭客的IP 位於莫斯科，使用srvape.com 提供的VPS，信箱是aggrdev@gmail.com。

部署成功後，駭客便開始在推特上推廣，等待魚兒上鉤。後面的故事大家都知道了，有些用戶安裝了惡意擴展，然後被偷。

下圖是AggrTrade 的官方提醒：

總結

慢霧安全團隊提醒廣大用戶，瀏覽器擴充功能的風險幾乎和直接執行可執行檔一樣大，所以安裝前一定要仔細審核。同時，小心那些私訊你的人，現在駭客和騙子都喜歡冒充合法、知名項目，以資助、推廣等名義，針對內容創作者進行詐騙。最後，在區塊鏈黑暗森林裡行走，要隨時保持懷疑的態度，確保你安裝的東西是安全的，不讓駭客有機可乘。