Background

Vào ngày 1 tháng 3 năm 2024, theo người dùng Twitter @doomxbt, đã có một tình huống bất thường với tài khoản Binance của họ, với số tiền bị nghi ngờ đã bị đánh cắp:

(https://x.com/doomxbt/status/1763237654965920175)

Ban đầu, sự việc này không thu hút được nhiều sự chú ý. Tuy nhiên, vào ngày 28 tháng 5 năm 2024, người dùng Twitter @Tree_of_Alpha đã phân tích và phát hiện ra rằng nạn nhân, @doomxbt, có khả năng đã cài đặt tiện ích mở rộng Aggr độc hại từ Cửa hàng Chrome trực tuyến, có nhiều đánh giá tích cực (chúng tôi không xác nhận trực tiếp với nạn nhân)! Tiện ích mở rộng này có thể đánh cắp tất cả cookie từ các trang web mà người dùng truy cập và hai tháng trước, ai đó đã trả tiền cho các cá nhân có ảnh hưởng để quảng bá nó.

(https://x.com/Tree_of_Alpha/status/1795403185349099740)

Trong vài ngày qua, sự chú ý về vụ việc này đã tăng lên. Thông tin đăng nhập của nạn nhân đã bị đánh cắp, và sau đó, tin tặc đã tìm cách đánh cắp tài sản tiền điện tử từ các nạn nhân bằng cách vũ phu. Nhiều người dùng đã tham khảo ý kiến của nhóm bảo mật SlowMist về vấn đề này. Tiếp theo, chúng tôi sẽ phân tích chi tiết sự kiện tấn công này để gióng lên hồi chuông cảnh báo cho cộng đồng tiền điện tử.

Phân tích

Đầu tiên, chúng ta cần tìm tiện ích mở rộng độc hại này. Mặc dù Google đã xóa tiện ích mở rộng độc hại, chúng tôi vẫn có thể truy cập một số dữ liệu lịch sử thông qua thông tin ảnh chụp nhanh.

Sau khi tải xuống và phân tích tiện ích mở rộng, chúng tôi đã tìm thấy một số tệp JS trong thư mục: background.js, content.js, jquery-3.6.0.min.js và jquery-3.5.1.min.js.

Trong quá trình phân tích tĩnh, chúng tôi quan sát thấy rằng background.js và content.js không chứa mã quá phức tạp, cũng như không có bất kỳ logic mã đáng ngờ rõ ràng nào. Tuy nhiên, trong background.js, chúng tôi đã tìm thấy một liên kết đến một trang web và plugin thu thập dữ liệu và gửi nó đến https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.

Bằng cách phân tích tệp manifest.json, chúng ta có thể thấy rằng background.js sử dụng /jquery/jquery-3.6.0.min.js và content.js sử dụng /jquery/jquery-3.5.1.min.js. Hãy tập trung vào việc phân tích hai tệp jQuery này.

Chúng tôi đã phát hiện mã độc đáng ngờ trong jquery/jquery-3.6.0.min.js. Mã xử lý cookie của trình duyệt thành định dạng JSON và gửi chúng đến trang web: https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.

Sau khi phân tích tĩnh, lệnh phân tích chính xác hơn hành vi của tiện ích mở rộng độc hại trong việc gửi dữ liệu, chúng tôi bắt đầu bằng cách cài đặt và gỡ lỗi tiện ích mở rộng. (Lưu ý: Phân tích nên được tiến hành trong một môi trường thử nghiệm hoàn toàn mới, nơi không có tài khoản nào được đăng nhập và trang web độc hại nên được thay đổi thành trang web được kiểm soát để tránh gửi dữ liệu nhạy cảm đến máy chủ của kẻ tấn công.)

Khi tiện ích mở rộng độc hại được cài đặt trong môi trường thử nghiệm, hãy mở bất kỳ trang web nào, chẳng hạn như google.com và quan sát các yêu cầu mạng được thực hiện bởi tiện ích mở rộng độc hại trong nền. Chúng tôi quan sát thấy rằng dữ liệu cookie từ Google đang được gửi đến một máy chủ bên ngoài.

Chúng tôi cũng quan sát thấy dữ liệu cookie được gửi bởi tiện ích mở rộng độc hại trên dịch vụ Welog.

Tại thời điểm này, nếu kẻ tấn công có quyền truy cập vào xác thực người dùng, thông tin đăng nhập, v.v. và sử dụng chiếm quyền điều khiển cookie của tiện ích mở rộng trình duyệt, chúng có thể tiến hành một cuộc tấn công phát lại trên một số trang web giao dịch nhất định, đánh cắp tài sản tiền điện tử của người dùng.

Hãy phân tích lại liên kết độc hại: https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.

Tên miền liên quan: aggrtrade-extension[.] Com

Phân tích thông tin tên miền trong hình trên:

.ru chỉ ra rằng nó có khả năng là một người dùng điển hình từ khu vực nói tiếng Nga, cho thấy khả năng cao có sự tham gia của các nhóm tin tặc Nga hoặc Đông Âu.

Dòng thời gian tấn công:

Phân tích trang web độc hại bắt chước AGGR (aggr.trade), aggrtrade-extension[.] com, chúng tôi phát hiện ra rằng tin tặc đã bắt đầu lên kế hoạch tấn công ba năm trước.

Cách đây 4 tháng, hacker triển khai tấn công:

Theo mạng lưới hợp tác tình báo mối đe dọa InMist, chúng tôi thấy rằng IP của tin tặc được đặt tại Moscow, sử dụng VPS do srvape.com cung cấp. Email của họ là aggrdev@gmail.com.

Sau khi triển khai thành công, hacker bắt đầu quảng bá trên Twitter, chờ đợi các nạn nhân không nghi ngờ giảm vào bẫy. Đối với phần còn lại của câu chuyện, nó nổi tiếng - một số người dùng đã cài đặt tiện ích mở rộng độc hại và sau đó trở thành nạn nhân của hành vi trộm cắp.

Hình ảnh sau đây là cảnh báo chính thức của AggrTrade:

Tóm tắt

Nhóm bảo mật SlowMist khuyên tất cả người dùng rằng rủi ro của các tiện ích mở rộng trình duyệt gần như đáng kể như chạy trực tiếp các tệp thực thi. Do đó, điều quan trọng là phải xem xét cẩn thận trước khi cài đặt. Ngoài ra, hãy thận trọng với những người gửi tin nhắn riêng tư cho bạn. Ngày nay, tin tặc và kẻ lừa đảo thường mạo danh các dự án hợp pháp và nổi tiếng, tuyên bố cung cấp cơ hội tài trợ hoặc quảng bá, nhắm mục tiêu đến người sáng tạo nội dung để lừa đảo. Cuối cùng, khi điều hướng khu rừng tối tăm của blockchain, hãy luôn duy trì thái độ hoài nghi để đảm bảo rằng những gì bạn cài đặt là an toàn và không dễ bị tin tặc khai thác.

Phát biểu:

1. Bài viết này được sao chép từ [ 慢雾科技], tiêu đề gốc là "Sói mặc quần áo cừu | Phân tích trộm cắp tiện ích mở rộng Chrome giả mạo", bản quyền thuộc về tác giả gốc [Mountain&Thinking@Slow Mist Security Team], nếu bạn có bất kỳ phản đối nào đối với việc tái bản, vui lòng liên hệ với Gate Learn Team, nhóm sẽ xử lý trong thời gian sớm nhất theo quy trình liên quan.

2. Tuyên bố từ chối trách nhiệm: Các quan điểm và ý kiến được thể hiện trong bài viết này chỉ đại diện cho quan điểm cá nhân của tác giả và không cấu thành bất kỳ lời khuyên đầu tư nào.

3. Các phiên bản ngôn ngữ khác của bài viết được dịch bởi nhóm Gate Learn, không được đề cập trong Gate.io, bài viết đã dịch không được sao chép, phân phối hoặc đạo văn.