산에서 생각한 @SlowFogSecurityTeam

배경

2024년 3월 1일, 트위터 사용자 @doomxbt의 피드백에 따르면 코인세이프 계정에 이상이 발생하여 자금이 도난당한 것으로 의심됩니다.

(https://x.com/doomxbt/status/1763237654965920175)

처음에는 이 이야기가 큰 주목을 받지 못했습니다. 처음에는 이 사건이 큰 관심을 끌지 못했지만, 2024년 5월 28일 트위터 사용자 @Tree_of_Alpha의 분석에 따르면 피해자인 @doomxbt가 크롬 스토어에서 긍정적인 리뷰가 많은 악성 Aggr 확장 프로그램을 설치한 것으로 의심된다는 사실이 밝혀졌습니다! 이 확장 프로그램은 사용자가 방문하는 웹사이트의 모든 쿠키를 훔치며, 누군가 2개월 전에 일부 인플루언서에게 돈을 주고 이를 홍보했습니다.

 (https:// x.com/Tree_of_Alpha/status/1795403185349099740)

이 사건에 대한 관심이 높아진 지난 이틀 동안 일부 피해자의 로그인 후 자격 증명이 도용 된 후 해커가 문을 두드려 피해자의 암호 화폐 자산을 도난당한 많은 사용자가 다음과 같이 문의했습니다. 많은 사용자가 이 문제에 대해 슬로우미스트 보안팀에 문의해왔습니다. 저희는 암호화폐 커뮤니티에 경종을 울리기 위해 이번 공격에 대해 분석할 예정입니다.

분석

먼저, 악성 확장자를 찾아야 합니다. Google이 이미 악성 확장 프로그램을 삭제했지만 스냅샷 정보를 통해 일부 기록 데이터를 확인할 수 있습니다.

다운로드 및 분석된 디렉토리의 JS 파일은 다음과 같습니다. background.js, content.js, jquery-3.6.0.min.js, jquery-3.5.1.min.js.

정적 분석 결과, background.js와 content.js에는 복잡한 코드가 많지 않은 것으로 확인되었습니다. js에는 복잡한 코드가 많지 않고 명백하게 의심스러운 코드 로직도 없지만, background.js에서 사이트에 대한 링크를 발견했으며 플러그인에서 얻은 데이터를  https[:]//aggrtrade-extension[.] com/statistics_collection/index[.]

매니페스트. json 파일을 분석하면 백그라운드에서는 /jquery/jquery-3.6.0.min.js를 사용하고 콘텐츠에서는 /jquery/jquery-3.5.1.min.js를 사용하므로 이 두 jquery 파일 분석에 집중하겠습니다.

매니페스트 분석을 통해 확인하실 수 있습니다. align:center">

jquery/jquery-3.6.0.min.js에서 의심스러운 악성 코드가 발견되었습니다. JSON 처리를 통해 브라우저에서 사이트 : https[:]//aggrtrade-extension[...]으로 쿠키를 전송하는 코드에서 의심스러운 악성 코드가 발견되었습니다. com/statistics_collection/index[.] php.

정적 분석 이후, 보다 정확한 분석을 위해 악성 확장 프로그램이 데이터를 전송하는 동작을 보다 정확하게 분석하기 위해 확장 프로그램을 설치하고 디버깅하기 시작했습니다. (참고: 테스트 중에 민감한 데이터가 공격자의 서버로 전송되는 것을 방지하기 위해 계정 로그인 없이 새로운 테스트 환경에서 확장 프로그램을 분석하고 악성 사이트를 제어할 수 있는 사이트로 변경해야 합니다.)

테스트 환경에 악성 확장 프로그램을 설치한 후 google.com과 같은 웹사이트를 열어 예시로 사용할 수 있습니다. google.com에 접속한 다음 악성 확장 프로그램의 백그라운드에서 네트워크 요청을 관찰한 결과, 구글의 쿠키 데이터가 외부 서버로 전송되는 것을 확인했습니다.

웹로그 서비스에서 악성 확장 프로그램이 보낸 쿠키 데이터도 확인했습니다:

이제까지 공격자가 사용자의 인증, 자격 증명 및 기타 정보를 획득하고 브라우저 확장 프로그램을 사용하여 쿠키를 탈취하면 일부 거래 사이트에 대한 녹온 공격을 수행하여 사용자의 암호화된 자산을 탈취할 수 있습니다.

리턴 악성 링크를 분석합니다  https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] php.

관련 도메인: aggrtrade-extension[.] com

위 이미지에서 도메인 정보 확인:

.ru는 일반적인 러시아어를 사용하는 사용자처럼 보이므로 다음과 같은 확률이 있습니다. 러시아 또는 동유럽 해커 그룹일 가능성이 높습니다.

공격 타임라인:

AGGR (aggr.trade)로 스푸핑된 악성 사이트 분석 중

AGGR (aggr.trade)로 스푸핑된 악성 사이트 분석 중

다음으로 스푸핑된 악성 웹사이트 분석 중

4개월 전, 해커들은 다음과 같은 공격을 감행했습니다.

. 가운데">

에 따르면 InMist 위협 인텔리전스 협업 네트워크에 따르면 해커의 IP는 모스크바에 있으며, 이메일 주소는 [email protected].

로 srvape.com에서 제공하는 VPS를 사용하는 것으로 확인되었습니다. jinse.cn/7236448_image3.png">

배포에 성공한 후 해커는 트위터에서 이를 홍보하기 시작했고 물고기가 물기만을 기다렸습니다. 뒷이야기에서 알 수 있듯이 일부 사용자가 악성 확장 프로그램을 설치한 후 정보를 탈취당했습니다.

다음은 AggrTrade의 공식 경고문입니다:

요약

Slow Fog 보안팀은 브라우저 확장 프로그램은 실행 파일을 직접 실행하는 것만큼이나 위험할 수 있으므로 다음을 주의해야 한다고 사용자에게 상기시킵니다. 설치하기 전에 신중하게 검토하세요. 동시에, 해커와 사기꾼은 자금 지원, 홍보 등을 명목으로 합법적이고 잘 알려진 프로젝트로 위장하여 콘텐츠 제작자를 대상으로 사기를 치기 때문에 비공개 메시지를 보내는 사람들도 주의하세요. 마지막으로, 블록체인이라는 어두운 숲을 걸을 때는 항상 회의적인 태도를 취하고 설치하는 것이 해커로부터 안전한지 확인해야 합니다.