2024년 3월 1일, 트위터 사용자 @doomxbt의 피드백에 따르면 바이낸스 계정에서 자금이 도난당한 것으로 의심되는 비정상적인 상황이 발생했습니다:
처음에는 이 사건이 큰 관심을 끌지 못했습니다. 하지만 2024년 5월 28일, 트위터 사용자 @Tree_of_Alpha가 분석한 결과 피해자인 @doomxbt가 긍정적인 리뷰가 많았던 Chrome 스토어에서 악성 Aggr 확장 프로그램을 설치했을 가능성이 높다는 사실을 발견했습니다! 이 확장 프로그램은 사용자가 방문한 웹사이트의 모든 쿠키를 훔칠 수 있으며, 두 달 전에는 누군가 인플루언서에게 돈을 주고 이를 홍보하기도 했습니다.
최근 이 사건에 대한 관심이 높아졌습니다. 일부 피해자들은 로그인 자격 증명을 도난당했고, 이후 해커들은 이를 이용해 조직적인 공격을 통해 피해자의 암호화폐 자산을 탈취했습니다. 많은 사용자가 이 문제에 대해 슬로우미스트 보안팀에 문의했습니다. 이번 공격 사건을 자세히 분석하여 암호화폐 커뮤니티에 경종을 울리고자 합니다.
먼저 이 악성 확장 프로그램의 위치를 찾아야 합니다. Google이 이미 이 악성 확장 프로그램을 제거했지만 스냅샷 정보를 통해 일부 기록 데이터를 확인할 수 있습니다.
다운로드 및 분석 후 디렉토리에 있는 주요 JS 파일은 background.js, content.js, jquery-3.6.0.min.js 및 jquery-3.5.1.min.js입니다.
정적 분석 결과, background.js와 content.js에는 복잡한 코드가 많지 않았고 의심스러운 코드 로직도 발견되지 않았습니다. 그러나 background.js에서 플러그인에서 얻은 데이터를 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php로 전송하는 사이트 링크를 발견했습니다.
manifest.json 파일을 분석하면 백그라운드에서는 /jquery/jquery-3.6.0.min.js를 사용하고 콘텐츠에서는 /jquery/jquery-3.5.1.min.js를 사용한다는 것을 알 수 있습니다. 따라서 이 두 개의 jquery 파일을 분석하는 데 집중했습니다:
jquery/jquery-3.6.0.min.js에서 JSON을 통해 브라우저의 쿠키를 처리하고 이를 다음 사이트로 전송하는 의심스러운 악성 코드가 발견되었습니다: https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php.
정적 분석 후, 데이터를 전송하는 악성 확장 프로그램의 동작을 보다 정확하게 분석하기 위해 확장 프로그램 설치 및 디버깅을 시작했습니다. (참고: 분석은 로그인한 계정이 없는 새로운 테스트 환경에서 수행해야 하며, 테스트 중에 민감한 데이터가 공격자의 서버로 전송되지 않도록 악성 사이트를 통제된 사이트로 변경해야 합니다.)
테스트 환경에 악성 확장 프로그램을 설치한 후 google.com과 같은 웹 사이트를 열고 악성 확장 프로그램의 백그라운드에서 네트워크 요청을 관찰한 결과, Google의 쿠키 데이터가 외부 서버로 전송되는 것을 확인했습니다:
또한 웹로그 서비스에서 악성 확장 프로그램이 전송한 쿠키 데이터도 확인했습니다:
이때 공격자가 쿠키를 탈취하는 브라우저 확장 프로그램을 통해 사용자 인증 자격 증명을 획득하면, 일부 거래 웹사이트에서 조직적인 공격을 수행하여 사용자의 암호화폐 자산을 탈취할 수 있습니다.
다음으로 악성 링크 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php를 분석했습니다.
관련 도메인: aggrtrade-extension[.]com
위에 표시된 도메인 정보를 구문 분석합니다:
.ru는 전형적인 러시아 사용자로 보이므로 러시아 또는 동유럽 해커 그룹일 가능성이 높습니다.
공격 타임라인:
가짜 AGGR(aggr.trade) 악성 웹사이트 aggrtrade-extension[.]com을 분석한 결과, 해커들이 3년 동안 공격을 계획해 온 것으로 나타났습니다:
4개월 전, 해커들은 공격을 감행했습니다:
InMist 위협 인텔리전스 협업 네트워크에 따르면, 해커의 IP는 모스크바에 있으며, srvape.com에서 제공하는 VPS를 사용하고 있고 이메일은 다음과 같습니다.[email protected] .
성공적으로 배포한 후 해커들은 트위터에서 홍보를 시작했고 피해자들이 미끼를 물기를 기다렸습니다. 일부 사용자가 악성 확장 프로그램을 설치했다가 피해를 입었다는 이야기는 이미 잘 알려져 있습니다.
아래는 AggrTrade의 공식 경고입니다:
SlowMist 보안팀은 브라우저 확장 프로그램의 위험성은 실행 파일을 직접 실행하는 것만큼이나 크므로 설치 전에 꼼꼼히 검토해야 한다고 사용자에게 당부합니다. 또한 비공개 메시지를 보내는 사람들도 주의하세요. 요즘 해커와 사기꾼은 합법적이고 잘 알려진 프로젝트를 사칭하여 후원이나 홍보를 가장하여 콘텐츠 제작자를 속이는 것을 좋아합니다. 마지막으로, 블록체인의 어두운 숲을 탐색하는 동안 항상 회의적인 태도를 유지하여 설치하는 것이 안전한지, 해커가 악용할 기회를 주지 않는지 확인해야 합니다.