Analyse des Diebstahls von gefälschten Chrome-Erweiterungen
Hintergrund
Am 1. März 2024 kam es laut Twitter-Nutzer @doomxbt zu einer ungewöhnlichen Situation mit ihrem Binance-Konto, bei der der Verdacht bestand, dass Gelder gestohlen wurden:
(https://x.com/doomxbt/status/1763237654965920175)
Anfangs erregte dieser Vorfall nicht viel Aufmerksamkeit. Am 28. Mai 2024 analysierte der Twitter-Nutzer @Tree_of_Alpha und stellte fest, dass das Opfer @doomxbt) wahrscheinlich eine bösartige Aggr-Erweiterung aus dem Chrome Web Store installiert hat, die viele positive Bewertungen hatte (wir haben das Opfer nicht direkt bestätigt)! Diese Erweiterung kann alle Cookies von Websites stehlen, die von Benutzern besucht werden, und vor zwei Monaten hat jemand einflussreiche Personen dafür bezahlt, sie zu bewerben.
(https://x.com/Tree_of_Alpha/status/1795403185349099740)
In den letzten Tagen hat die Aufmerksamkeit auf diesen Vorfall zugenommen. Die Anmeldedaten der Opfer, die sich anmeldeten, wurden gestohlen, und anschließend gelang es den Hackern, den Opfern durch Brute-Force-Angriffe Kryptowährungswerte zu stehlen. Viele Benutzer haben sich bezüglich dieses Problems an das Sicherheitsteam von SlowMist gewandt. Als Nächstes werden wir dieses Angriffsereignis im Detail analysieren, um die Krypto-Community zu alarmieren.
Analyse
Zuerst müssen wir diese bösartige Erweiterung finden. Obwohl Google die bösartige Erweiterung bereits entfernt hat, können wir über Snapshot-Informationen immer noch auf einige historische Daten zugreifen.
Nach dem Herunterladen und Analysieren der Extension haben wir mehrere JS-Dateien im Verzeichnis gefunden: background.js, content.js, jquery-3.6.0.min.js und jquery-3.5.1.min.js.
Während der statischen Analyse haben wir festgestellt, dass background.js und content.js weder übermäßig komplexen Code noch eine offensichtliche verdächtige Codelogik enthalten. Im background.js haben wir jedoch einen Link zu einer Website gefunden, und das Plugin sammelt Daten und sendet sie an https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.
Wenn wir die manifest.json Datei analysieren, können wir sehen, dass background.js /jquery/jquery-3.6.0.min.js und content.js /jquery/jquery-3.5.1.min.js verwendet. Konzentrieren wir uns auf die Analyse dieser beiden jQuery-Dateien.
Wir haben verdächtigen Schadcode in jquery/jquery-3.6.0.min.js entdeckt. Der Code verarbeitet Browser-Cookies im JSON-Format und sendet sie an die Website: https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.
Nach der statischen Analyse beginnen wir mit der Installation und dem Debuggen der Erweiterung, Order das Verhalten der bösartigen Erweiterung beim Senden von Daten genauer zu analysieren. (Hinweis: Die Analyse sollte in einer völlig neuen Testumgebung durchgeführt werden, in der keine Konten angemeldet sind, und die bösartige Website sollte in eine kontrollierte Website geändert werden, um zu vermeiden, dass vertrauliche Daten an den Server des Angreifers gesendet werden.)
Sobald die bösartige Erweiterung in der Testumgebung installiert ist, öffnen Sie eine beliebige Website, z. B. google.com, und beobachten Sie die Netzwerkanforderungen, die von der bösartigen Erweiterung im Hintergrund gestellt werden. Wir haben festgestellt, dass die Cookie-Daten von Google an einen externen Server gesendet werden.
Wir haben auch die Cookie-Daten beobachtet, die von der bösartigen Erweiterung auf dem Weblog-Dienst gesendet werden.
Wenn Angreifer zu diesem Zeitpunkt Zugriff auf Benutzerauthentifizierung, Anmeldeinformationen usw. erhalten und das Hijacking von Browsererweiterungs-Cookies verwenden, können sie einen Replay-Angriff auf bestimmte Handelswebsites durchführen und die Kryptowährungswerte der Benutzer stehlen.
Analysieren wir den bösartigen Link erneut: https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.
Betroffene Domain: aggrtrade-extension[.] Com
Analysieren Sie die Domänennameninformationen in der obigen Abbildung:
.ru deutet darauf hin, dass es sich wahrscheinlich um einen typischen Benutzer aus dem russischsprachigen Raum handelt, was auf eine hohe Wahrscheinlichkeit einer Beteiligung russischer oder osteuropäischer Hackergruppen hindeutet.
Zeitleiste des Angriffs:
Analyse der bösartigen Website, die AGGR (aggr.trade), aggrtrade-extension[.] com haben wir herausgefunden, dass Hacker vor drei Jahren mit der Planung des Angriffs begonnen haben.
Vor 4 Monaten führten Hacker den Angriff durch:
Laut dem InMist Threat Intelligence Cooperation Network haben wir herausgefunden, dass sich die IP-Adresse des Hackers in Moskau befindet und einen von srvape.com bereitgestellten VPS verwendet. Ihre E-Mail-Adresse lautet aggrdev@gmail.com.
Nach erfolgreicher Bereitstellung begann der Hacker auf Twitter zu werben und wartete darauf, dass ahnungslose Opfer in die Falle fielen. Was den Rest der Geschichte betrifft, so ist es bekannt – einige Benutzer installierten die bösartige Erweiterung und wurden anschließend Opfer eines Diebstahls.
Das folgende Bild ist die offizielle Warnung von AggrTrade:
Zusammenfassung
Das Sicherheitsteam von SlowMist weist alle Benutzer darauf hin, dass das Risiko von Browsererweiterungen fast so groß ist wie das direkte Ausführen ausführbarer Dateien. Daher ist es wichtig, vor der Installation sorgfältig zu prüfen. Seien Sie auch vorsichtig mit denen, die Ihnen private Nachrichten senden. Heutzutage geben sich Hacker und Betrüger oft als legitime und bekannte Projekte aus und behaupten, Sponsoring- oder Werbemöglichkeiten anzubieten, und zielen auf die Ersteller von Inhalten für Betrügereien ab. Wenn Sie sich im dunklen Wald der Blockchain bewegen, sollten Sie immer eine skeptische Haltung einnehmen, um sicherzustellen, dass das, was Sie installieren, sicher und nicht anfällig für die Ausnutzung durch Hacker ist.
Aussage:
Dieser Artikel ist eine Wiedergabe von [ 慢雾科技], der Originaltitel lautet "Wolf im Schafspelz | Fake Chrome Extension Theft Analysis", das Urheberrecht liegt beim ursprünglichen Autor [Mountain&Thinking@Slow Mist Security Team], wenn Sie Einwände gegen den Nachdruck haben, wenden Sie sich bitte an Gate Learn Team, wird das Team es so schnell wie möglich gemäß den entsprechenden Verfahren bearbeiten.
Haftungsausschluss: Die in diesem Artikel geäußerten Ansichten und Meinungen stellen nur die persönlichen Ansichten des Autors dar und stellen keine Anlageberatung dar.
Andere Sprachversionen des Artikels werden vom Gate Learn-Team übersetzt, nicht erwähnt in Gate.io, der übersetzte Artikel darf nicht vervielfältigt, verbreitet oder plagiiert werden.
Teilen
Verwandte Artikel
Wie man ETH Staket?
Was ist Tronscan und wie können Sie es verwenden?
Was ist Bitcoin?
Analyse des Diebstahls von gefälschten Chrome-Erweiterungen
Hintergrund
Am 1. März 2024 kam es laut Twitter-Nutzer @doomxbt zu einer ungewöhnlichen Situation mit ihrem Binance-Konto, bei der der Verdacht bestand, dass Gelder gestohlen wurden:
(https://x.com/doomxbt/status/1763237654965920175)
Anfangs erregte dieser Vorfall nicht viel Aufmerksamkeit. Am 28. Mai 2024 analysierte der Twitter-Nutzer @Tree_of_Alpha und stellte fest, dass das Opfer @doomxbt) wahrscheinlich eine bösartige Aggr-Erweiterung aus dem Chrome Web Store installiert hat, die viele positive Bewertungen hatte (wir haben das Opfer nicht direkt bestätigt)! Diese Erweiterung kann alle Cookies von Websites stehlen, die von Benutzern besucht werden, und vor zwei Monaten hat jemand einflussreiche Personen dafür bezahlt, sie zu bewerben.
(https://x.com/Tree_of_Alpha/status/1795403185349099740)
In den letzten Tagen hat die Aufmerksamkeit auf diesen Vorfall zugenommen. Die Anmeldedaten der Opfer, die sich anmeldeten, wurden gestohlen, und anschließend gelang es den Hackern, den Opfern durch Brute-Force-Angriffe Kryptowährungswerte zu stehlen. Viele Benutzer haben sich bezüglich dieses Problems an das Sicherheitsteam von SlowMist gewandt. Als Nächstes werden wir dieses Angriffsereignis im Detail analysieren, um die Krypto-Community zu alarmieren.
Analyse
Zuerst müssen wir diese bösartige Erweiterung finden. Obwohl Google die bösartige Erweiterung bereits entfernt hat, können wir über Snapshot-Informationen immer noch auf einige historische Daten zugreifen.
Nach dem Herunterladen und Analysieren der Extension haben wir mehrere JS-Dateien im Verzeichnis gefunden: background.js, content.js, jquery-3.6.0.min.js und jquery-3.5.1.min.js.
Während der statischen Analyse haben wir festgestellt, dass background.js und content.js weder übermäßig komplexen Code noch eine offensichtliche verdächtige Codelogik enthalten. Im background.js haben wir jedoch einen Link zu einer Website gefunden, und das Plugin sammelt Daten und sendet sie an https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.
Wenn wir die manifest.json Datei analysieren, können wir sehen, dass background.js /jquery/jquery-3.6.0.min.js und content.js /jquery/jquery-3.5.1.min.js verwendet. Konzentrieren wir uns auf die Analyse dieser beiden jQuery-Dateien.
Wir haben verdächtigen Schadcode in jquery/jquery-3.6.0.min.js entdeckt. Der Code verarbeitet Browser-Cookies im JSON-Format und sendet sie an die Website: https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.
Nach der statischen Analyse beginnen wir mit der Installation und dem Debuggen der Erweiterung, Order das Verhalten der bösartigen Erweiterung beim Senden von Daten genauer zu analysieren. (Hinweis: Die Analyse sollte in einer völlig neuen Testumgebung durchgeführt werden, in der keine Konten angemeldet sind, und die bösartige Website sollte in eine kontrollierte Website geändert werden, um zu vermeiden, dass vertrauliche Daten an den Server des Angreifers gesendet werden.)
Sobald die bösartige Erweiterung in der Testumgebung installiert ist, öffnen Sie eine beliebige Website, z. B. google.com, und beobachten Sie die Netzwerkanforderungen, die von der bösartigen Erweiterung im Hintergrund gestellt werden. Wir haben festgestellt, dass die Cookie-Daten von Google an einen externen Server gesendet werden.
Wir haben auch die Cookie-Daten beobachtet, die von der bösartigen Erweiterung auf dem Weblog-Dienst gesendet werden.
Wenn Angreifer zu diesem Zeitpunkt Zugriff auf Benutzerauthentifizierung, Anmeldeinformationen usw. erhalten und das Hijacking von Browsererweiterungs-Cookies verwenden, können sie einen Replay-Angriff auf bestimmte Handelswebsites durchführen und die Kryptowährungswerte der Benutzer stehlen.
Analysieren wir den bösartigen Link erneut: https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.
Betroffene Domain: aggrtrade-extension[.] Com
Analysieren Sie die Domänennameninformationen in der obigen Abbildung:
.ru deutet darauf hin, dass es sich wahrscheinlich um einen typischen Benutzer aus dem russischsprachigen Raum handelt, was auf eine hohe Wahrscheinlichkeit einer Beteiligung russischer oder osteuropäischer Hackergruppen hindeutet.
Zeitleiste des Angriffs:
Analyse der bösartigen Website, die AGGR (aggr.trade), aggrtrade-extension[.] com haben wir herausgefunden, dass Hacker vor drei Jahren mit der Planung des Angriffs begonnen haben.
Vor 4 Monaten führten Hacker den Angriff durch:
Laut dem InMist Threat Intelligence Cooperation Network haben wir herausgefunden, dass sich die IP-Adresse des Hackers in Moskau befindet und einen von srvape.com bereitgestellten VPS verwendet. Ihre E-Mail-Adresse lautet aggrdev@gmail.com.
Nach erfolgreicher Bereitstellung begann der Hacker auf Twitter zu werben und wartete darauf, dass ahnungslose Opfer in die Falle fielen. Was den Rest der Geschichte betrifft, so ist es bekannt – einige Benutzer installierten die bösartige Erweiterung und wurden anschließend Opfer eines Diebstahls.
Das folgende Bild ist die offizielle Warnung von AggrTrade:
Zusammenfassung
Das Sicherheitsteam von SlowMist weist alle Benutzer darauf hin, dass das Risiko von Browsererweiterungen fast so groß ist wie das direkte Ausführen ausführbarer Dateien. Daher ist es wichtig, vor der Installation sorgfältig zu prüfen. Seien Sie auch vorsichtig mit denen, die Ihnen private Nachrichten senden. Heutzutage geben sich Hacker und Betrüger oft als legitime und bekannte Projekte aus und behaupten, Sponsoring- oder Werbemöglichkeiten anzubieten, und zielen auf die Ersteller von Inhalten für Betrügereien ab. Wenn Sie sich im dunklen Wald der Blockchain bewegen, sollten Sie immer eine skeptische Haltung einnehmen, um sicherzustellen, dass das, was Sie installieren, sicher und nicht anfällig für die Ausnutzung durch Hacker ist.
Aussage:
Dieser Artikel ist eine Wiedergabe von [ 慢雾科技], der Originaltitel lautet "Wolf im Schafspelz | Fake Chrome Extension Theft Analysis", das Urheberrecht liegt beim ursprünglichen Autor [Mountain&Thinking@Slow Mist Security Team], wenn Sie Einwände gegen den Nachdruck haben, wenden Sie sich bitte an Gate Learn Team, wird das Team es so schnell wie möglich gemäß den entsprechenden Verfahren bearbeiten.
Haftungsausschluss: Die in diesem Artikel geäußerten Ansichten und Meinungen stellen nur die persönlichen Ansichten des Autors dar und stellen keine Anlageberatung dar.
Andere Sprachversionen des Artikels werden vom Gate Learn-Team übersetzt, nicht erwähnt in Gate.io, der übersetzte Artikel darf nicht vervielfältigt, verbreitet oder plagiiert werden.
Verwandte Artikel
Wie man ETH Staket?
Was ist Tronscan und wie können Sie es verwenden?