في 1 مارس 2024، وفقًا لتعليقات مستخدم تويتر @doomxbt، حدث موقف غير طبيعي في حساب Binance الخاص بهم، مع الاشتباه في سرقة الأموال:
في البداية، لم يجذب هذا الحادث الكثير من الاهتمام. ومع ذلك، في 28 مايو 2024، قام مستخدم تويتر @Tree_of_Alpha بتحليل واكتشف أن الضحية، @doomxbt، قد قام على الأرجح بتثبيت ملحق Aggr الضار من متجر Chrome، والذي حصل على العديد من التقييمات الإيجابية! يمكن أن يسرق هذا الامتداد جميع ملفات تعريف الارتباط من مواقع الويب التي يزورها المستخدم، وقبل شهرين، دفع شخص ما أشخاصًا مؤثرين للترويج له.
وفي الآونة الأخيرة، زاد الاهتمام بهذه الحادثة. تمت سرقة بيانات اعتماد تسجيل الدخول الخاصة ببعض الضحايا، وبعد ذلك استخدمها المتسللون لسرقة بيانات الضحايا. أصول العملة المشفرة من خلال الهجمات المنسقة. لقد استشار العديد من المستخدمين فريق أمان SlowMist حول هذه المشكلة. بعد ذلك، سنقوم بتحليل حادث الهجوم هذا بالتفصيل لدق ناقوس الخطر لمجتمع العملات المشفرة.
أولاً، نحتاج إلى تحديد موقع هذا الملحق الضار. على الرغم من أن Google قد أزالت هذا الملحق الضار بالفعل، إلا أنه لا يزال بإمكاننا رؤية بعض البيانات التاريخية من خلال معلومات اللقطة.
بعد التنزيل والتحليل، ملفات JS الرئيسية في الدليل هي الخلفية.js، content.js، jquery-3.6.0.min.js، و jquery-3.5.1.min.js.
أثناء التحليل الثابت، وجدنا أن الخلفية.js والمحتوى.js لا يحتويان على الكثير من التعليمات البرمجية المعقدة، ولم يكن لديهما أي منطق تعليمات برمجية مشبوهة واضح. ومع ذلك، وجدنا رابط موقع في الخلفية.js، والذي يرسل البيانات التي حصل عليها البرنامج الإضافي إلى https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php.
من خلال تحليل ملف Manifest.json، يمكننا أن نرى أن الخلفية تستخدم /jquery/jquery-3.6.0.min.js، والمحتوى يستخدم /jquery/jquery-3.5.1.min.js. لذلك، ركزنا على تحليل هذين الملفين jquery:
في jquery/jquery-3.6.0.min.js، وجدنا تعليمات برمجية ضارة مشبوهة تعالج ملفات تعريف الارتباط للمتصفح عبر JSON وترسلها إلى الموقع: https[:]//aggrtrade-extension[.]com/ Statistics_collection/index[.]php.
بعد التحليل الثابت، ولتحليل سلوك الامتداد الضار في إرسال البيانات بشكل أكثر دقة، بدأنا في تثبيت الامتداد وتصحيح أخطائه. (ملاحظة: يجب إجراء التحليل في بيئة اختبار جديدة تمامًا بدون حسابات مسجلة الدخول، ويجب تغيير الموقع الضار إلى موقع خاضع للرقابة لتجنب إرسال بيانات حساسة إلى خادم المهاجم أثناء الاختبار).
بعد تثبيت الامتداد الضار في بيئة الاختبار، فتحنا أي موقع ويب، مثل google.com، ولاحظنا طلبات الشبكة في خلفية الامتداد الضار، ووجدنا أن بيانات ملفات تعريف الارتباط الخاصة بـ Google قد تم إرسالها إلى خادم خارجي:
لقد رأينا أيضًا بيانات ملفات تعريف الارتباط المرسلة بواسطة الامتداد الضار على خدمة Weblog:
في هذه المرحلة، إذا حصل المهاجم على بيانات اعتماد مصادقة المستخدم من خلال ملفات تعريف الارتباط الخاصة باختراق امتداد المتصفح، فيمكنه تنفيذ هجمات منسقة على بعض مواقع التداول لسرقة المستخدمين. أصول العملة المشفرة.
بعد ذلك، قمنا بتحليل الرابط الضار https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php.
المجال المعني: aggrtrade-extension[.]com
تحليل معلومات المجال الموضحة أعلاه:
ويبدو أن .ru هو مستخدم روسي نموذجي، لذا فمن المحتمل جدًا أن يكون مجموعة قراصنة روسية أو أوروبية شرقية.
الجدول الزمني للهجوم:
من خلال تحليل موقع الويب الضار المزيف AGGR (aggr.trade) aggrtrade-extension[.]com، وجدنا أن المتسللين كانوا يخططون للهجوم لمدة ثلاث سنوات:
قبل أربعة أشهر، نشر المتسللون الهجوم:
وفقًا لشبكة InMist للتعاون في مجال استخبارات التهديدات، وجدنا أن عنوان IP الخاص بالمتسلل موجود في موسكو، باستخدام خادم VPS مقدم من srvape.com، والبريد الإلكتروني هو [email protected] .
وبعد النشر الناجح، بدأ المتسللون في الترويج على تويتر، في انتظار أن يلتقط الضحايا الطعم. وبقية القصة معروفة. قام بعض المستخدمين بتثبيت الامتداد الضار ثم تعرضوا للسرقة.
فيما يلي التحذير الرسمي من AggrTrade:
يذكر فريق أمان SlowMist المستخدمين بأن خطر ملحقات المتصفح يكاد يكون كبيرًا مثل تشغيل الملفات القابلة للتنفيذ مباشرة، لذا تأكد من مراجعتها بدقة قبل التثبيت. كن حذرًا أيضًا من الأشخاص الذين يرسلون لك رسائل خاصة. في الوقت الحاضر، يحب المتسللون والمحتالون انتحال شخصية مشاريع مشروعة ومعروفة للاحتيال على منشئي المحتوى تحت ستار الرعاية أو الترويج. أخيرًا، حافظ دائمًا على موقف متشكك أثناء التنقل في الغابة المظلمة لـ blockchain، مع التأكد من أن ما تقوم بتثبيته آمن ولا يمنح المتسللين أي فرصة لاستغلاله.