ログイン/ 登録

羊の皮を被った狼：不正なChrome拡張機能盗難の分析

2024/06/03 16:32

従う

2024年3月1日、ツイッター・ユーザー@doomxbtからのフィードバックによると、バイナンスのアカウントで異常事態が発生し、資金が盗まれた疑いがあるという：

私は奇妙な方法で危険にさらされている。バイナンス口座から資金が流出し、突然、何も注文していないのに、注文が完了したことを知らせる音が聞こえてきた。pic.twitter.com/NEkSQVbBQc
𝔡ᵒ𝔪 (@doomxbt)2024年2月29日

当初、この事件はあまり注目されなかった。しかし、2024年5月28日、ツイッター・ユーザーの@Tree_of_Alphaが分析し、被害者である@doomxbtがChromeストアから悪意のあるAggr拡張機能をインストールしていた可能性が高いことを発見した！この拡張機能は、ユーザーが訪問したウェブサイトからすべてのクッキーを盗むことができ、2ヶ月前、誰かがインフルエンサーにお金を払って宣伝させた。

⚠️do not download aggr chrome extension⚠️

ついに見つけたdoomxbt Binanceで資金を失った。
悪質なAggrアプリがChromeストアにあり、あなたが訪問したすべてのウェブサイトのすべてのクッキーを盗み出すという良い評価を受けている。pic.twitter.com/XEPbwKX0XW
ツリー (🌲,🌲) (@Tree_of_Alpha)2024年5月28日

最近、この事件への関心が高まっている。一部の被害者はログイン認証情報を盗まれ、その後、ハッカーはこれらの情報を使って、被害者の暗号通貨資産を連携攻撃によって盗み出しました。多くのユーザーがこの問題についてSlowMistのセキュリティチームに相談しています。次に、この攻撃事件を詳細に分析し、暗号コミュニティに警鐘を鳴らします。

まず、この悪質な拡張機能の場所を特定する必要がある。Googleはすでにこの悪質な拡張機能を削除していますが、スナップショット情報によって過去のデータを見ることができます。

ダウンロードして分析した結果、ディレクトリ内の主なJSファイルはbackground.js、content.js、jquery-3.6.0.min.js、jquery-3.5.1.min.jsでした。

静的解析の結果、background.jsとcontent.jsにはそれほど複雑なコードは含まれておらず、明らかな疑わしいコードロジックもありませんでした。しかし、background.js の中に、プラグインによって取得されたデータを https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php に送信するサイトリンクを発見しました。

manifest.jsonファイルを分析すると、backgroundは/jquery/jquery-3.6.0.min.jsを、contentは/jquery/jquery-3.5.1.min.jsを使用していることがわかります。そこで、この2つのjqueryファイルを重点的に分析した：

jquery/jquery-3.6.0.min.jsに、JSONを介してブラウザのクッキーを処理し、サイト: https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]phpに送信する疑わしい悪意のあるコードが見つかりました。

静的分析の後、データを送信する際の悪意のある拡張機能の動作をより正確に分析するため、拡張機能のインストールとデバッグを開始した。(注意: 分析は、ログインアカウントのない新しいテスト環境で行い、テスト中に攻撃者のサーバに機密データが送信されないように、悪意のあるサイトは管理されたものに変更する必要があります)。

テスト環境に悪意のある拡張機能をインストールした後、google.comのような任意のウェブサイトを開き、悪意のある拡張機能のバックグラウンドでネットワークリクエストを観察したところ、Google'のクッキーデータが外部サーバに送信されていることがわかりました：

また、ウェブログ・サービス上で悪意のある拡張機能によって送信されたクッキーのデータを見ました：

この時点で、攻撃者がブラウザ拡張機能でクッキーをハイジャックしてユーザー認証クレデンシャルを取得すると、いくつかの取引ウェブサイトで協調攻撃を実行し、ユーザーの暗号通貨資産を盗むことができます。

次に、悪意のあるリンク https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php を分析しました。

関係するドメイン：aggrtrade-extension[.]com

上記のドメイン情報を解析する：

.ruは典型的なロシア人ユーザーのようなので、ロシアか東欧のハッカー集団である可能性が高い。

攻撃のタイムライン

偽AGGR（aggr.trade）の悪質なウェブサイトaggrtrade-extension[.]comを分析したところ、ハッカーたちは3年前から攻撃を計画していたことがわかった：

4ヶ月前、ハッカーは攻撃を仕掛けた：

InMist脅威インテリジェンスコラボレーションネットワークによると、ハッカーのIPはモスクワにあり、srvape.comが提供するVPSを使用している。[email protected] .

展開に成功すると、ハッカーたちはツイッターで宣伝を始め、被害者が餌に食いつくのを待った。悪意のあるエクステンションをインストールした一部のユーザーが強盗に襲われたのだ。

以下はAggrTradeからの公式警告である：

🚨 セキュリティ侵害の警告：私たちは、私たちのブランドAggrTradeを使用した詐欺的なChrome拡張機能を発見しました。この詐欺は2022年以来、Bitget、Kraken、Binanceなどの取引所を標的にしています。2024年3月、Xamp &;Telegramでの宣伝キャンペーンでは、暗号インフルエンサーが支持を表明しました。
AggrTradeApp (@AggrTradeApp)2024年5月29日

SlowMistのセキュリティチームは、ブラウザの拡張機能のリスクは、実行ファイルを直接実行するのと同じくらい大きいので、インストールする前に十分に確認するようにユーザーに注意を促しています。また、個人的なメッセージを送ってくる人にも注意が必要です。昨今、ハッカーや詐欺師は、スポンサーシップやプロモーションを装って、合法的で有名なプロジェクトになりすまし、コンテンツ制作者を騙すことを好んでいます。最後に、ブロックチェーンの暗闇の森を進む間は常に懐疑的な態度を保ち、インストールするものが安全で、ハッカーに悪用の機会を与えないようにしましょう。