披着羊皮的狼:虚假Chrome扩展盗窃分析
作者:山&Thinking
背景2024年3月1日,据推特用户@doomxbt反馈,其币安账户存在异常情况,资金疑似被盗:
(https://x.com/doomxbt/status/1763237654965920175)一开始这个事件没有引起太大关注,但在2024年5月28日,推特用户@Tree_of_Alpha分析发现受害者@doomxbt疑似安装了一个Chrome商店中有很多好评的恶意Aggr扩展程序!它可以窃取用户访问的网站上的所有cookies,并且2个月前有人付钱给一些有影响力的人来推广它。
(https://x.com/Tree_of_Alpha/status/1795403185349099740)这两天此事件关注度提升,有受害者登录后的凭证被盗取,随后黑客通过对敲盗走受害者的加密货币资产,不少用户咨询慢雾安全团队这个问题。接下来我们会具体分析该攻击事件,为加密社区敲响警钟。
分析首先,我们得找到这个恶意扩展。虽然已经Google已经下架了该恶意扩展,但是我们可以通过快照信息看到一些历史数据。
下载后进行分析,从目录上JS文件是background.js,content.js,jquery-3.6.0.min.js,jquery-3.5.1.min.js。
静态分析过程中,我们发现background.js和content.js没有太多复杂的代码,也没有明显的可疑代码逻辑,但是我们在background.js发现一个站点的链接,并且会将插件获取的数据发送到https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
通过分析manifest.json文件,可以看到background使用了/jquery/jquery-3.6.0.min.js,content使用了/jquery/jquery-3.5.1.min.js,于是我们来聚焦分析这两个jquery文件:
我们在jquery/jquery-3.6.0.min.js中发现了可疑的恶意代码,代码将浏览器中的cookies通过JSON处理后发送到了site:https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
静态分析后,为了能够更准确地分析恶意扩展发送数据的行为,我们开始对扩展进行安装和调试。(注意:要在全新的测试环境中进行分析,环境中没有登录任何账号,并且将恶意的site改成自己可控的,避免测试中将敏感数据发送到攻击者的服务器上)
在测试环境中安装好恶意扩展后,打开任意网站,比如google.com,然后观察恶意扩展background中的网络请求,发现Google的cookies数据被发送到了外部服务器:
我们在Weblog服务上也看到了恶意扩展发送的cookies数据:
至此,如果攻击者拿到用户认证、凭证等信息,使用浏览器扩展劫持cookies,就可以在一些交易网站进行对敲攻击,盗窃用户的加密资产。
我们再分析下回传恶意链接https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
涉及域名:aggrtrade-extension[.]com
解析上图的域名信息:
.ru看起来是典型的俄语区用户,所以大概率是俄罗斯或东欧黑客团伙。
攻击时间线:
分析仿冒AGGR(aggr.trade)的恶意网站aggrtrade-extension[.]com,发现黑客3年前就开始谋划攻击:
4个月前,黑客部署攻击:
根据InMist威胁情报合作网络,我们查到黑客的IP位于莫斯科,使用srvape.com提供的VPS,邮箱是[email protected]。
部署成功后,黑客便开始在推特上推广,等待鱼儿上钩。后面的故事大家都知道了,一些用户安装了恶意扩展,然后被盗。
下图是AggrTrade的官方提醒:
总结慢雾安全团队提醒广大用户,浏览器扩展的风险几乎和直接运行可执行文件一样大,所以在安装前一定要仔细审核。同时,小心那些给你发私信的人,现在黑客和骗子都喜欢冒充合法、知名项目,以资助、推广等名义,针对内容创作者进行诈骗。最后,在区块链黑暗森林里行走,要始终保持怀疑的态度,确保你安装的东西是安全的,不让黑客有机可乘。