Latar Belakang

Pada tanggal 1 Maret 2024, menurut pengguna Twitter @doomxbt, ada situasi abnormal dengan akun Binance mereka, dengan dana yang diduga telah dicuri:

(https://x.com/doomxbt/status/1763237654965920175)

Awalnya, kejadian ini tidak menarik banyak perhatian. Namun, pada 28 Mei 2024, pengguna Twitter @Tree_of_Alpha menganalisis dan menemukan bahwa korban, @doomxbt, kemungkinan memasang ekstensi Aggr berbahaya dari Toko Web Chrome, yang memiliki banyak ulasan positif (kami tidak langsung mengkonfirmasi dengan korban)! Ekstensi ini dapat mencuri semua cookie dari situs web yang dikunjungi oleh pengguna, dan dua bulan lalu, seseorang membayar individu berpengaruh untuk mempromosikannya.

(https://x.com/Tree_of_Alpha/status/1795403185349099740)

Dalam beberapa hari terakhir, perhatian terhadap kejadian ini meningkat. Kredensial korban yang masuk dicuri, dan selanjutnya, peretas berhasil mencuri aset cryptocurrency dari para korban dengan brute-forcing. Banyak pengguna telah berkonsultasi dengan tim keamanan SlowMist mengenai masalah ini. Selanjutnya, kami akan menganalisis peristiwa serangan ini secara rinci untuk membunyikan alarm bagi komunitas crypto.

Analisis

Pertama, kita perlu menemukan ekstensi berbahaya ini. Meskipun Google telah menghapus ekstensi berbahaya, kami masih dapat mengakses beberapa data historis melalui informasi snapshot.

Setelah mengunduh dan menganalisis ekstensi, kami menemukan beberapa file JS di direktori: background.js, content.js, jquery-3.6.0.min.js, dan jquery-3.5.1.min.js.

Selama analisis statis, kami mengamati bahwa background.js dan content.js tidak mengandung kode yang terlalu rumit, juga tidak memiliki logika kode mencurigakan yang jelas. Namun, pada tahun background.js, kami menemukan tautan ke situs web, dan plugin mengumpulkan data dan mengirimkannya ke https[:]//aggrtrade-extension[.] com/statistics_collection/indeks[.] Php.

Dengan menganalisis file manifest.json, kita dapat melihat bahwa background.js menggunakan /jquery/jquery-3.6.0.min.js, dan content.js menggunakan /jquery/jquery-3.5.1.min.js. Mari kita fokus menganalisis dua file jQuery ini.

Kami telah menemukan kode berbahaya yang mencurigakan di jquery / jquery-3.6.0.min.js. Kode memproses cookie browser ke dalam format JSON dan mengirimkannya ke situs: https[:]//aggrtrade-extension[.] com/statistics_collection/indeks[.] Php.

Setelah analisis statis, pesanan untuk menganalisis perilaku ekstensi berbahaya dalam mengirim data dengan lebih akurat, kami mulai dengan menginstal dan men-debug ekstensi. (Catatan: Analisis harus dilakukan di lingkungan pengujian yang sama sekali baru di mana tidak ada akun yang masuk, dan situs berbahaya harus diubah menjadi yang terkontrol untuk menghindari pengiriman data sensitif ke server penyerang.)

Setelah ekstensi berbahaya diinstal di lingkungan pengujian, buka situs web apa pun, seperti google.com, dan amati permintaan jaringan yang dibuat oleh ekstensi berbahaya di latar belakang. Kami mengamati bahwa data cookie dari Google dikirim ke server eksternal.

Kami juga mengamati data cookie yang dikirim oleh ekstensi berbahaya pada layanan Weblog.

Pada titik ini, jika penyerang mendapatkan akses ke otentikasi pengguna, kredensial, dll., Dan memanfaatkan pembajakan cookie ekstensi browser, mereka dapat melakukan serangan replay di situs web perdagangan tertentu, mencuri aset cryptocurrency pengguna.

Mari kita menganalisis tautan berbahaya lagi: https[:]//aggrtrade-extension[.] com/statistics_collection/indeks[.] Php.

Domain yang terlibat: aggrtrade-extension[.] Com

Parsing informasi nama domain pada gambar di atas:

.ru menunjukkan bahwa kemungkinan pengguna biasa dari wilayah berbahasa Rusia, menunjukkan kemungkinan besar keterlibatan oleh kelompok peretas Rusia atau Eropa Timur.

Garis Waktu Serangan:

Menganalisis situs web berbahaya yang meniru AGGR (aggr.trade), aggrtrade-extension[.] com, kami menemukan bahwa peretas mulai merencanakan serangan tiga tahun lalu.

4 bulan yang lalu, peretas menyebarkan serangan:

Menurut jaringan kerja sama intelijen ancaman InMist, kami menemukan bahwa IP peretas berlokasi di Moskow, memanfaatkan VPS yang disediakan oleh srvape.com. Email mereka adalah aggrdev@gmail.com.

Setelah berhasil menyebarkan, peretas mulai mempromosikan di Twitter, menunggu korban yang tidak curiga untuk turun ke jebakan. Adapun sisa cerita, itu terkenal - beberapa pengguna menginstal ekstensi berbahaya dan kemudian menjadi korban pencurian.

Gambar berikut adalah peringatan resmi AggrTrade:

Ringkasan

Tim keamanan SlowMist menyarankan semua pengguna bahwa risiko ekstensi browser hampir sama pentingnya dengan menjalankan file yang dapat dieksekusi secara langsung. Oleh karena itu, sangat penting untuk meninjau dengan cermat sebelum menginstal. Juga, berhati-hatilah terhadap mereka yang mengirimi Anda pesan pribadi. Saat ini, peretas dan scammer sering menyamar sebagai proyek yang sah dan terkenal, mengklaim menawarkan sponsor atau peluang promosi, menargetkan pembuat konten untuk penipuan. Akhirnya, ketika menavigasi hutan gelap blockchain, selalu pertahankan sikap skeptis untuk memastikan bahwa apa yang Anda instal aman dan tidak rentan terhadap eksploitasi oleh peretas.

Pernyataan:

1. Artikel ini direproduksi dari [ 慢雾科技], judul aslinya adalah "Serigala Berbulu Domba | Analisis Pencurian Ekstensi Chrome Palsu", hak cipta milik penulis asli [Mountain&Thinking@Slow Tim Keamanan Kabut Asap], jika Anda keberatan dengan cetak ulang, silakan hubungi Gate Learn Team, Tim akan menanganinya sesegera mungkin sesuai dengan prosedur yang relevan.

2. Penafian: Pandangan dan pendapat yang diungkapkan dalam artikel ini hanya mewakili pandangan pribadi penulis dan bukan merupakan saran investasi.

3. Versi bahasa lain dari artikel diterjemahkan oleh tim Gate Learn, tidak disebutkan dalam Gate.io, artikel yang diterjemahkan tidak boleh direproduksi, didistribusikan atau dijiplak.