Background

เมื่อวันที่ 1 มีนาคม 2024 ตามผู้ใช้ Twitter @doomxbt มีสถานการณ์ผิดปกติกับบัญชี Binance ของพวกเขาโดยสงสัยว่าเงินถูกขโมย:

(https://x.com/doomxbt/status/1763237654965920175)

ในขั้นต้นเหตุการณ์นี้ไม่ได้ดึงดูดความสนใจมากนัก อย่างไรก็ตาม เมื่อวันที่ 28 พฤษภาคม 2024 ผู้ใช้ Twitter @Tree_of_Alpha วิเคราะห์และพบว่าเหยื่อ @doomxbt น่าจะติดตั้งส่วนขยาย Aggr ที่เป็นอันตรายจาก Chrome เว็บสโตร์ ซึ่งมีบทวิจารณ์เชิงบวกมากมาย (เราไม่ได้ยืนยันโดยตรงกับเหยื่อ)! ส่วนขยายนี้สามารถขโมยคุกกี้ทั้งหมดจากเว็บไซต์ที่ผู้ใช้เข้าชมและเมื่อสองเดือนก่อนมีคนจ่ายเงินให้กับผู้มีอิทธิพลเพื่อโปรโมต

(https://x.com/Tree_of_Alpha/status/1795403185349099740)

ในช่วงไม่กี่วันที่ผ่านมาความสนใจในเหตุการณ์นี้เพิ่มขึ้น ข้อมูลประจําตัวของเหยื่อที่เข้าสู่ระบบถูกขโมยและต่อมาแฮกเกอร์สามารถขโมยทรัพย์สินสกุลเงินดิจิทัลจากเหยื่อโดยการบังคับเดรัจฉาน ผู้ใช้หลายคนได้ปรึกษาทีมรักษาความปลอดภัย SlowMist เกี่ยวกับปัญหานี้ ต่อไปเราจะวิเคราะห์เหตุการณ์การโจมตีนี้โดยละเอียดเพื่อส่งเสียงเตือนสําหรับชุมชน crypto

การวิเคราะห์

ประการแรกเราต้องค้นหาส่วนขยายที่เป็นอันตรายนี้ แม้ว่า Google จะลบส่วนขยายที่เป็นอันตรายออกไปแล้ว แต่เรายังคงสามารถเข้าถึงข้อมูลในอดีตบางอย่างผ่านข้อมูลสแนปชอตได้

หลังจากดาวน์โหลดและวิเคราะห์ส่วนขยายเราพบไฟล์ JS หลายไฟล์ในไดเร็กทอรี: background.js, content.js, jquery-3.6.0.min.js และ jquery-3.5.1.min.js

ในระหว่างการวิเคราะห์แบบคงที่เราสังเกตว่า background.js และ content.js ไม่มีรหัสที่ซับซ้อนเกินไปและไม่มีตรรกะรหัสที่น่าสงสัยอย่างชัดเจน อย่างไรก็ตามในปี background.js เราพบลิงก์ไปยังเว็บไซต์และปลั๊กอินรวบรวมข้อมูลและส่งไปยัง https[:]//aggrtrade-extension[.] com/statistics_collection/ดัชนี[.] Php

จากการวิเคราะห์ไฟล์ manifest.json เราจะเห็นว่า background.js ใช้ /jquery/jquery-3.6.0.min.js และ content.js ใช้ /jquery/jquery-3.5.1.min.js เรามาเน้นการวิเคราะห์ไฟล์ jQuery สองไฟล์นี้กัน

เราได้ค้นพบรหัสที่เป็นอันตรายที่น่าสงสัยใน jquery / jquery-3.6.0.min.js รหัสประมวลผลคุกกี้เบราว์เซอร์เป็นรูปแบบ JSON และส่งไปยังไซต์: https[:]//aggrtrade-extension[.] com/statistics_collection/ดัชนี[.] Php

หลังจากการวิเคราะห์แบบคงที่เพื่อวิเคราะห์พฤติกรรมของส่วนขยายที่เป็นอันตรายในการส่งข้อมูลได้อย่างแม่นยํายิ่งขึ้นเราเริ่มต้นด้วยการติดตั้งและดีบักส่วนขยาย (หมายเหตุ: การวิเคราะห์ควรดําเนินการในสภาพแวดล้อมการทดสอบใหม่ทั้งหมดที่ไม่มีบัญชีเข้าสู่ระบบและไซต์ที่เป็นอันตรายควรเปลี่ยนเป็นไซต์ที่มีการควบคุมเพื่อหลีกเลี่ยงการส่งข้อมูลที่ละเอียดอ่อนไปยังเซิร์ฟเวอร์ของผู้โจมตี)

เมื่อติดตั้งส่วนขยายที่เป็นอันตรายในสภาพแวดล้อมการทดสอบแล้วให้เปิดเว็บไซต์ใด ๆ เช่น google.com และสังเกตคําขอเครือข่ายที่ทําโดยส่วนขยายที่เป็นอันตรายในพื้นหลัง เราสังเกตเห็นว่าข้อมูลคุกกี้จาก Google กําลังถูกส่งไปยังเซิร์ฟเวอร์ภายนอก

นอกจากนี้เรายังสังเกตเห็นข้อมูลคุกกี้ที่ส่งโดยส่วนขยายที่เป็นอันตรายในบริการเว็บบล็อก

ณ จุดนี้หากผู้โจมตีสามารถเข้าถึงการรับรองความถูกต้องของผู้ใช้ข้อมูลประจําตัว ฯลฯ และใช้การจี้คุกกี้ส่วนขยายเบราว์เซอร์พวกเขาสามารถทําการโจมตีซ้ําในเว็บไซต์ซื้อขายบางแห่งขโมยสินทรัพย์สกุลเงินดิจิทัล

มาวิเคราะห์ลิงก์ที่เป็นอันตรายอีกครั้ง: https[:]//aggrtrade-extension[.] com/statistics_collection/ดัชนี[.] Php

โดเมนที่เกี่ยวข้อง: aggrtrade-extension[.] Com

แยกวิเคราะห์ข้อมูลชื่อโดเมนในภาพด้านบน:

.ru บ่งชี้ว่าน่าจะเป็นผู้ใช้ทั่วไปจากภูมิภาคที่พูดภาษารัสเซียซึ่งชี้ให้เห็นถึงความเป็นไปได้สูงที่จะมีส่วนร่วมโดยกลุ่มแฮ็กเกอร์ชาวรัสเซียหรือยุโรปตะวันออก

ไทม์ไลน์การโจมตี:

การวิเคราะห์เว็บไซต์ที่เป็นอันตรายเลียนแบบ AGGR (aggr.trade), aggrtrade-extension[.] เราพบว่าแฮกเกอร์เริ่มวางแผนการโจมตีเมื่อสามปีก่อน

4 เดือนที่ผ่านมาแฮกเกอร์ใช้การโจมตี:

ตามเครือข่ายความร่วมมือด้านข่าวกรองภัยคุกคาม InMist เราพบว่า IP ของแฮ็กเกอร์ตั้งอยู่ในมอสโกโดยใช้ VPS ที่ srvape.com จัดหาให้ อีเมลของพวกเขาคือ aggrdev@gmail.com

หลังจากปรับใช้สําเร็จแฮ็กเกอร์ก็เริ่มโปรโมตบน Twitter รอให้เหยื่อที่ไม่สงสัยตกหลุมพราง สําหรับส่วนที่เหลือของเรื่องราวเป็นที่รู้จักกันดี - ผู้ใช้บางคนติดตั้งส่วนขยายที่เป็นอันตรายและต่อมาตกเป็นเหยื่อของการโจรกรรม

ภาพต่อไปนี้เป็นคําเตือนอย่างเป็นทางการของ AggrTrade:

สรุป

ทีมรักษาความปลอดภัย SlowMist แนะนําผู้ใช้ทุกคนว่าความเสี่ยงของส่วนขยายเบราว์เซอร์นั้นมีความสําคัญเกือบเท่ากับการเรียกใช้ไฟล์ปฏิบัติการโดยตรง ดังนั้นจึงเป็นเรื่องสําคัญที่จะต้องตรวจสอบอย่างรอบคอบก่อนติดตั้ง นอกจากนี้โปรดระวังผู้ที่ส่งข้อความส่วนตัวถึงคุณ ทุกวันนี้แฮกเกอร์และนักต้มตุ๋นมักปลอมตัวเป็นโครงการที่ถูกกฎหมายและเป็นที่รู้จักโดยอ้างว่าเสนอสปอนเซอร์หรือโอกาสในการโปรโมตโดยกําหนดเป้าหมายไปที่ผู้สร้างเนื้อหาเพื่อหลอกลวง สุดท้ายเมื่อสํารวจป่ามืดของบล็อกเชนให้รักษาทัศนคติที่ไม่เชื่อเสมอเพื่อให้แน่ใจว่าสิ่งที่คุณติดตั้งนั้นปลอดภัยและไม่เสี่ยงต่อการถูกแฮ็กเกอร์เอาเปรียบ

คําชี้แจง:

1. บทความนี้ทําซ้ําจาก [ 慢雾科技] ชื่อเดิมคือ "หมาป่าในเสื้อผ้าแกะ | การวิเคราะห์การโจรกรรมส่วนขยายของ Chrome ปลอม" ลิขสิทธิ์เป็นของผู้เขียนต้นฉบับ [Mountain&Thinking@Slow Mist Security Team] หากคุณมีการคัดค้านการพิมพ์ซ้ําโปรดติดต่อ Gate Learn Teamทีมงานจะจัดการโดยเร็วที่สุดตามขั้นตอนที่เกี่ยวข้อง

2. ข้อจํากัดความรับผิดชอบ: มุมมองและความคิดเห็นที่แสดงในบทความนี้แสดงถึงมุมมองส่วนตัวของผู้เขียนเท่านั้นและไม่ถือเป็นคําแนะนําการลงทุนใด ๆ

3. บทความเวอร์ชันภาษาอื่น ๆ ได้รับการแปลโดยทีม Gate Learn ซึ่งไม่ได้กล่าวถึงใน Gate.io บทความที่แปลแล้วไม่สามารถทําซ้ําแจกจ่ายหรือลอกเลียนแบบได้