![](https://www.bitpush.news/wp-content/themes/Gztro/assets/img/logo.png)
披着羊皮的狼|虚假 Chrome 扩展盗窃分析
背景
2024 年 3 月 1 日,据推特用户 @doomxbt 反馈,其币安账户存在异常情况,资金疑似被盗:
(https://x.com/doomxbt/status/1763237654965920175)
一开始这个事件没有引起太大关注,但在 2024 年 5 月 28 日,推特用户 @Tree_of_Alpha 分析发现受害者 @doomxbt 疑似安装了一个 Chrome 商店中有很多好评的恶意 Aggr 扩展程序!它可以窃取用户访问的网站上的所有 cookies,并且 2 个月前有人付钱给一些有影响力的人来推广它。
(https://x.com/Tree_of_Alpha/status/1795403185349099740)
这两天此事件关注度提升,有受害者登录后的凭证被盗取,随后黑客通过对敲盗走受害者的加密货币资产,不少用户咨询慢雾安全团队这个问题。接下来我们会具体分析该攻击事件,为加密社区敲响警钟。
分析
首先,我们得找到这个恶意扩展。虽然已经 Google 已经下架了该恶意扩展,但是我们可以通过快照信息看到一些历史数据。
下载后进行分析,从目录上 JS 文件是 background.js,content.js,jquery-3.6.0.min.js,jquery-3.5.1.min.js。
静态分析过程中,我们发现 background.js 和 content.js 没有太多复杂的代码,也没有明显的可疑代码逻辑,但是我们在 background.js 发现一个站点的链接,并且会将插件获取的数据发送到 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
通过分析 manifest.json 文件,可以看到 background 使用了 /jquery/jquery-3.6.0.min.js,content 使用了 /jquery/jquery-3.5.1.min.js,于是我们来聚焦分析这两个 jquery 文件:
我们在 jquery/jquery-3.6.0.min.js 中发现了可疑的恶意代码,代码将浏览器中的 cookies 通过 JSON 处理后发送到了 site : https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
静态分析后,为了能够更准确地分析恶意扩展发送数据的行为,我们开始对扩展进行安装和调试。(注意:要在全新的测试环境中进行分析,环境中没有登录任何账号,并且将恶意的 site 改成自己可控的,避免测试中将敏感数据发送到攻击者的服务器上)
在测试环境中安装好恶意扩展后,打开任意网站,比如 google.com,然后观察恶意扩展 background 中的网络请求,发现 Google 的 cookies 数据被发送到了外部服务器:
我们在 Weblog 服务上也看到了恶意扩展发送的 cookies 数据:
至此,如果攻击者拿到用户认证、凭证等信息,使用浏览器扩展劫持 cookies,就可以在一些交易网站进行对敲攻击,盗窃用户的加密资产。
我们再分析下回传恶意链接 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
涉及域名:aggrtrade-extension[.]com
解析上图的域名信息:
.ru 看起来是典型的俄语区用户,所以大概率是俄罗斯或东欧黑客团伙。
攻击时间线:
分析仿冒 AGGR (aggr.trade) 的恶意网站 aggrtrade-extension[.]com,发现黑客 3 年前就开始谋划攻击:
4 个月前,黑客部署攻击:
根据 InMist 威胁情报合作网络,我们查到黑客的 IP 位于莫斯科,使用 srvape.com 提供的 VPS ,邮箱是 aggrdev@gmail.com。
部署成功后,黑客便开始在推特上推广,等待鱼儿上钩。后面的故事大家都知道了,一些用户安装了恶意扩展,然后被盗。
下图是 AggrTrade 的官方提醒:
总结
慢雾安全团队提醒广大用户,浏览器扩展的风险几乎和直接运行可执行文件一样大,所以在安装前一定要仔细审核。同时,小心那些给你发私信的人,现在黑客和骗子都喜欢冒充合法、知名项目,以资助、推广等名义,针对内容创作者进行诈骗。最后,在区块链黑暗森林里行走,要始终保持怀疑的态度,确保你安装的东西是安全的,不让黑客有机可乘。
比推快讯
更多 >>- Bitwise、VanEck、富兰克林等8家现货以太坊ETF申请商已提交其S-1文件的更新版本
- VanEck向美SEC递交修订后的现货以太坊ETF S-1表格,费率为0.20%
- 21Shares、灰度向美SEC递交修订后的现货以太坊ETF S-1表格
- 彭博社:渣打银行计划推出比特币和以太坊现货交易平台
- Aleph Zero 推出与 EVM 兼容的隐私层 zkOS
- Stella 社区提议将杠杆 LP 扩展为全链杠杆基础设施协议,并更名为LitLayer
- 观点:美SEC结束对以太坊 2.0 的调查是为了避免诉讼
- Coinbase已上线Core(CORECHAIN)
- Pantera Capital 正在为第二笔 TON 代币投资筹集资金
- 某巨鲸地址花费约768万美元买入3570万枚BEER,当前浮亏587万美元
- 某三年前建仓SHIB的巨鲸从Coinbase提取2450亿枚SHIB,投资回报率约 101%
- 富达提交以太坊现货ETF S-1修订表格,披露 470 万美元的种子资金
- Circle:目前已有14个区块链部署桥接USDC,2个区块链部署桥接EURC
- 彭博分析师:今日将有大批S-1 文件提交,仍预测 7 月 2 日左右为现货以太坊 ETF 的发布日期
- 彭博分析师:亚太地区现货比特币ETF的潜在资管规模将达到30亿美元
- 尼日利亚证券交易委员会宣布数字资产新规则和合规计划
- Paradigm宣布开源EVM编译器Revmc
- 美国九只现货比特币ETF 今日净减持2,012枚BTC,价值约合1.28亿美元
- BitMEX创始人当前通过 3 个地址持有 208.8 万枚 PENDLE,浮盈 100%
- PancakeSwap 即将推出由人工智能驱动的投资组合管理工具 CupcakeHop
- 戴尔CEO转发MicroStrategy创始人“比特币代表数字稀缺性”推文
- Arkham 新增Purpose Ether Staking Corp. ETF 地址标记,后者持有1.578亿美元 ETH
- 超 1 亿枚 USDT 从 Binance 转移到未知钱包
- 灰度向Coinbase Prime地址转入647枚BTC
- DeFiance Capital创始人:加密市场日趋成熟,大多数山寨币没有投资价值
- MicroStrategy 比特币持仓浮盈逾 63 亿美元
- AI Arena 将于下周上线代币 NRN 并开放领取
- Pyth Network 与 Morpho、Gauntlet 达成合作,改善以太坊和 Base 上借贷体验
- 台湾将在12月完成虚拟资产管理规则草案,正考虑允许海外比特币ETF的投资
- 何一:即使币安不上新项目,资金也会因 meme 币、链上土狗等活动分流
- Chromia 激励测试计划更新:QuestNet 加入,MetaMask 仅用于交易签名
- 麦肯锡预测:到2030年,资产代币化的市场规模预计将低于2万亿美元
- 孙宇晨诉媒体侵犯名誉权案胜诉
- 疑似知名交易员 Ansem 的钱包地址将597万枚 WIF 转入币安,价值1130万美元
- DYOR 创始人:若机构卖出月解锁额度5%的代币,可引发主流山寨币价格下跌30-70%
- Mystiko Network 推出 500 万美元生态激励
- BTC跌破63700美元
- DAO 治理基础设施 Tally 将推出 Tally Protocol
- Eigenpie:EIGEN代币分配受存入ETH/LST数量和存款持续时间影响
- UNICEF投资40万美元支持发展中国家的区块链、Web3和人工智能领域
比推专栏
更多 >>观点
项目
比推热门文章
- 牛市大不同,“山寨季”为何摇身变为“Meme 季”?
- 【比推每日新闻精选】贝莱德、VanEck等发行商向美SEC递交修订后的现货以太坊ETF S-1表格;彭博社:渣打银行计划推出比特币和以太坊现货交易平台;Pantera Capital 正在为第二笔 TON 代币投资筹集资金
- Bitwise、VanEck、富兰克林等8家现货以太坊ETF申请商已提交其S-1文件的更新版本
- 【比推每日市场动态】市场情绪“极度负面”,6万美元或为BTC短期回撤位
- VanEck向美SEC递交修订后的现货以太坊ETF S-1表格,费率为0.20%
- 21Shares、灰度向美SEC递交修订后的现货以太坊ETF S-1表格
- 彭博社:渣打银行计划推出比特币和以太坊现货交易平台
- Aleph Zero 推出与 EVM 兼容的隐私层 zkOS
- Stella 社区提议将杠杆 LP 扩展为全链杠杆基础设施协议,并更名为LitLayer
- 观点:美SEC结束对以太坊 2.0 的调查是为了避免诉讼