Arka Plan

1 Mart 2024'te Twitter kullanıcısı @doomxbt'e göre, Binance hesap'lerinde anormal bir durum vardı ve fonların çalındığından şüphelenildi:

(https://x.com/doomxbt/status/1763237654965920175)

Başlangıçta, bu olay fazla dikkat çekmedi. Ancak, 28 Mayıs 2024'te Twitter kullanıcısı @Tree_of_Alfa analiz etti ve kurbanın, @doomxbt, muhtemelen Chrome Web Mağazası'ndan birçok olumlu eleştiri alan kötü amaçlı bir Aggr uzantısı yükledi (kurbanla doğrudan teyit etmedik)! Bu uzantı, kullanıcılar tarafından ziyaret edilen web sitelerinden tüm çerezleri çalabilir ve iki ay önce birileri onu tanıtmak için etkili kişilere ödeme yaptı.

(https://x.com/Tree_of_Alpha/status/1795403185349099740)

Son birkaç gündür bu olaya olan ilgi arttı. Giriş yapan kurbanların kimlik bilgileri çalındı ve ardından bilgisayar korsanları, kaba kuvvetle kurbanlardan kripto para varlıklarını çalmayı başardı. Birçok kullanıcı bu konuyla ilgili olarak SlowMist güvenlik ekibine danıştı. Ardından, kripto topluluğu için alarm vermek için bu saldırı olayını ayrıntılı olarak analiz edeceğiz.

Analiz

Öncelikle bu kötü amaçlı uzantıyı bulmamız gerekiyor. Google, kötü amaçlı uzantıyı zaten kaldırmış olsa da, anlık görüntü bilgileri aracılığıyla bazı geçmiş verilere erişmeye devam edebiliriz.

Uzantıyı indirip analiz ettikten sonra, dizinde birkaç JS dosyası bulduk: background.js, content.js, jquery-3.6.0.min.js ve jquery-3.5.1.min.js.

Statik analiz sırasında, background.js ve content.js aşırı karmaşık kod içermediğini ve belirgin bir şüpheli kod mantığına sahip olmadığını gözlemledik. Ancak, background.js'de bir web sitesine bağlantı bulduk ve eklenti veri toplayıp https[:]//aggrtrade-extension[.] adresine gönderiyor. com/statistics_collection/index[.] Php.

manifest.json dosyasını analiz ederek, background.js'in /jquery/jquery-3.6.0.min.js kullandığını ve content.js'in /jquery/jquery-3.5.1.min.js kullandığını görebiliriz. Bu iki jQuery dosyasını analiz etmeye odaklanalım.

jquery/jquery-3.6.0.min.js'de şüpheli kötü amaçlı kod keşfettik. Kod, tarayıcı çerezlerini JSON biçiminde işler ve bunları siteye gönderir: https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.

Statik analizden sonra, kötü amaçlı uzantının veri gönderme davranışını daha doğru bir şekilde analiz etmek emir, uzantıyı yükleyerek ve hata ayıklayarak başlarız. (Not: Analiz, hiçbir hesabın oturum açmadığı tamamen yeni bir test ortamında yapılmalı ve saldırganın sunucusuna hassas veriler gönderilmesini önlemek için kötü amaçlı site kontrollü bir siteyle değiştirilmelidir.)

Kötü amaçlı uzantı test ortamına yüklendikten sonra, google.com gibi herhangi bir web sitesini açın ve arka planda kötü amaçlı uzantı tarafından yapılan ağ isteklerini gözlemleyin. Google'dan gelen çerez verilerinin harici bir sunucuya gönderildiğini gözlemledik.

Ayrıca, Weblog hizmetindeki kötü amaçlı uzantı tarafından gönderilen çerez verilerini de gözlemledik.

Bu noktada, saldırganlar kullanıcı kimlik doğrulamasına, kimlik bilgilerine vb. erişir ve tarayıcı uzantısı çerez ele geçirme özelliğini kullanırsa, belirli ticaret web sitelerinde bir tekrar saldırısı gerçekleştirerek kullanıcıların kripto para varlıklarını çalabilirler.

Kötü amaçlı bağlantıyı tekrar analiz edelim: https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.

İlgili etki alanı: aggrtrade-extension[.] Com

Yukarıdaki resimdeki alan adı bilgilerini ayrıştırın:

.ru, muhtemelen Rusça konuşulan bölgeden tipik bir kullanıcı olduğunu gösteriyor ve bu da Rus veya Doğu Avrupalı hacker gruplarının dahil olma olasılığının yüksek olduğunu gösteriyor.

Saldırı Zaman Çizelgesi:

AGGR (aggr.trade), aggrtrade-extension[.] com, bilgisayar korsanlarının saldırıyı üç yıl önce planlamaya başladığını keşfettik.

4 ay önce, bilgisayar korsanları saldırıyı dağıttı:

InMist tehdit istihbaratı işbirliği ağına göre, bilgisayar korsanının IP'sinin Moskova'da bulunduğunu ve srvape.com tarafından sağlanan bir VPS'yi kullandığını tespit ettik. E-posta adresleri [email protected].

Başarılı bir şekilde konuşlandırıldıktan sonra, bilgisayar korsanı Twitter'da tanıtım yapmaya başladı ve şüphelenmeyen kurbanların tuzak düşüş beklemeye başladı. Hikayenin geri kalanına gelince, iyi biliniyor – bazı kullanıcılar kötü amaçlı uzantıyı yükledi ve ardından hırsızlığın kurbanı oldu.

Aşağıdaki resim AggrTrade'in resmi uyarısıdır:

Özet

SlowMist güvenlik ekibi, tüm kullanıcılara tarayıcı uzantılarının riskinin neredeyse yürütülebilir dosyaları doğrudan çalıştırmak kadar önemli olduğunu tavsiye eder. Bu nedenle, yüklemeden önce dikkatlice gözden geçirmek çok önemlidir. Ayrıca, size özel mesaj gönderenlere karşı dikkatli olun. Günümüzde, bilgisayar korsanları ve dolandırıcılar genellikle meşru ve iyi bilinen projelerin kimliğine bürünerek sponsorluk veya promosyon fırsatları sunduğunu iddia ederek içerik oluşturucuları dolandırıcılık için hedef alıyor. Son olarak, blok zincirinin karanlık ormanında gezinirken, yüklediğiniz şeyin güvenli olduğundan ve bilgisayar korsanları tarafından istismara açık olmadığından emin olmak için her zaman şüpheci bir tutum sergileyin.

deyimi:

1. Bu makale [ 慢雾科技], orijinal adı "Koyun Kılığına Girmiş Kurt | Sahte Chrome Uzantısı Hırsızlığı Analizi", telif hakkı orijinal yazara aittir [Mountain&Thinking@Slow Mist Security Team], yeniden baskıya herhangi bir itirazınız varsa, lütfen Gate Learn Team ile iletişime geçin., ekip ilgili prosedürlere göre mümkün olan en kısa sürede halledecektir.

2. Yasal Uyarı: Bu makalede ifade edilen görüş ve görüşler yalnızca yazarın kişisel görüşlerini temsil eder ve herhangi bir yatırım tavsiyesi teşkil etmez.

3. Makalenin diğer dil versiyonları Gate Learn ekibi tarafından çevrilir, Gate.io bölümünde bahsedilmez, çevrilen makale çoğaltılamaz, dağıtılamaz veya intihal edilemez.