羊の皮をかぶった狼: 偽の Chrome 拡張機能の盗難分析

avatar
慢雾科技
5ヶ月前
本文は約1830字で,全文を読むには約3分かかります
ブロックチェーンの暗い森の中を歩くときは、常に懐疑的な態度を維持し、インストールするものが安全であり、ハッカーによる悪用を許可しないことを確認してください。

原作者:シャン、シンキング、スローミストセキュリティチーム

背景

2024 年 3 月 1 日、Twitter ユーザー @doomxbt からのフィードバックによると、彼の Binance アカウントに異常があり、資金が盗まれた疑いがありました。

羊の皮をかぶった狼: 偽の Chrome 拡張機能の盗難分析

(https://x.com/doomxbt/status/1763237654965920175)

この事件は当初あまり注目を集めませんでしたが、2024 年 5 月 28 日、Twitter ユーザー @Tree_of_Alpha が分析したところ、被害者 @doomxbt が Chrome ストアで多くの肯定的なレビューを持つ悪意のある Aggr 拡張機能をインストールした疑いがあることが判明しました。これはユーザーが訪問する Web サイトからすべての Cookie を盗むことができ、2 か月前に誰かが何人かのインフルエンサーにお金を払って宣伝させました。

羊の皮をかぶった狼: 偽の Chrome 拡張機能の盗難分析

(https://x.com/Tree_of_Alpha/status/1795403185349099740)

この事件は過去 2 日間でさらに注目を集めており、ログイン後の被害者の認証情報が盗まれ、その後ハッカーがハッキングを通じて被害者の暗号資産を盗みました。この問題について多くのユーザーが SlowMist セキュリティ チームに相談しました。次に、攻撃を詳細に分析し、暗号化コミュニティに警鐘を鳴らします。

分析する

まず、悪意のある拡張機能を見つける必要があります。 Google は悪意のある拡張機能を削除しましたが、スナップショット情報を通じていくつかの履歴データを確認できます。

羊の皮をかぶった狼: 偽の Chrome 拡張機能の盗難分析

ダウンロードして分析すると、ディレクトリ内の JS ファイルは、background.js、content.js、jquery-3.6.0.min.js、jquery-3.5.1.min.js になります。

静的分析の結果、background.js と content.js にはそれほど複雑なコードも、明らかに疑わしいコード ロジックも含まれていないことがわかりました。しかし、background.js 内にサイトへのリンクがあり、プラグインによって取得されたデータが見つかりました。は https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php に送信されました。

羊の皮をかぶった狼: 偽の Chrome 拡張機能の盗難分析

manifest.json ファイルを分析すると、バックグラウンドで /jquery/jquery-3.6.0.min.js が使用され、コンテンツで /jquery/jquery-3.5.1.min.js が使用されていることがわかります。このため、これら 2 つの jquery の分析に焦点を当てましょう。ファイル:

羊の皮をかぶった狼: 偽の Chrome 拡張機能の盗難分析

jquery/jquery-3.6.0.min.js で疑わしい悪意のあるコードが見つかりました。このコードは、ブラウザ内の Cookie を JSON 経由で処理し、サイト https[:]//aggrtrade-extension[.]com/statistics_collection に送信します。 /index[.]php.

羊の皮をかぶった狼: 偽の Chrome 拡張機能の盗難分析

静的分析の後、データを送信する悪意のある拡張機能の動作をより正確に分析するために、拡張機能のインストールとデバッグを開始しました。 (注: 分析は新しいテスト環境で実行する必要があります。その環境にはアカウントはログインせず、テスト中に攻撃者のサーバーに機密データが送信されるのを避けるために、悪意のあるサイトを自分で制御できるサイトに変更する必要があります)

テスト環境に悪意のある拡張機能をインストールした後、google.com などの Web サイトを開き、悪意のある拡張機能のバックグラウンドでネットワーク リクエストを観察し、Google の Cookie データが外部サーバーに送信されていることを確認します。

羊の皮をかぶった狼: 偽の Chrome 拡張機能の盗難分析

また、ウェブログ サービス上の悪意のある拡張機能によって送信された Cookie データも確認されました。

羊の皮をかぶった狼: 偽の Chrome 拡張機能の盗難分析

この時点で、攻撃者がユーザー認証、資格情報、その他の情報を取得し、ブラウザ拡張機能を使用して Cookie をハイジャックすると、一部の取引 Web サイトに対してノックオン攻撃を実行し、ユーザーの暗号化された資産を盗む可能性があります。

返された悪意のあるリンク https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php を分析してみましょう。

関係するドメイン名: aggrtrade-extension[.]com

羊の皮をかぶった狼: 偽の Chrome 拡張機能の盗難分析

上の図のドメイン名情報を解析します。

羊の皮をかぶった狼: 偽の Chrome 拡張機能の盗難分析

.ru はロシア語圏の典型的なユーザーであると思われるため、ロシアまたは東ヨーロッパのハッカー グループである可能性が高くなります。

攻撃のタイムライン:

AGGR (aggr.trade) を偽造する悪意のある Web サイト aggrtrade-extension[.]com を分析したところ、ハッカーが 3 年前に攻撃を計画し始めたことがわかりました。

羊の皮をかぶった狼: 偽の Chrome 拡張機能の盗難分析

羊の皮をかぶった狼: 偽の Chrome 拡張機能の盗難分析

4 か月前、ハッカーは次のような攻撃を展開しました。

羊の皮をかぶった狼: 偽の Chrome 拡張機能の盗難分析

羊の皮をかぶった狼: 偽の Chrome 拡張機能の盗難分析

羊の皮をかぶった狼: 偽の Chrome 拡張機能の盗難分析

InMist Threat Intelligence Commission Network によると、ハッカーの IP はモスクワにあり、srvape.com が提供する VPS を使用しており、電子メール アドレスは aggrdev@gmail.com であることがわかりました。

羊の皮をかぶった狼: 偽の Chrome 拡張機能の盗難分析

導入が成功すると、ハッカーは Twitter で宣伝を開始し、魚が餌を食べるのを待ちます。一部のユーザーが悪意のある拡張機能をインストールし、それを盗まれたことは誰もが知っています。

下の写真は、AggrTrade の公式リマインダーです。

羊の皮をかぶった狼: 偽の Chrome 拡張機能の盗難分析

要約する

SlowMist セキュリティ チームは、ブラウザ拡張機能は実行可能ファイルを直接実行するのとほぼ同じくらい危険であるため、インストール前に必ずよく確認してくださいとユーザーに注意を促しています。同時に、ハッカーや詐欺師が正当な有名プロジェクトを装い、資金提供やプロモーションなどの名目でコンテンツ作成者を騙そうとする個人メッセージを送信する人たちにも注意してください。最後に、ブロックチェーンの暗い森の中を歩くときは、常に懐疑的な態度を維持し、インストールするものが安全であることを確認してください。

オリジナル記事、著者:慢雾科技。転載/コンテンツ連携/記事探しはご連絡ください report@odaily.email;法に違反して転載するには必ず追究しなければならない

ODAILYは、多くの読者が正しい貨幣観念と投資理念を確立し、ブロックチェーンを理性的に見て、リスク意識を確実に高めてください、発見された違法犯罪の手がかりについては、積極的に関係部門に通報することができる。

おすすめの読み物
編集者の選択