Tác giả: Shan&Thinking@SlowMist Security Team

Nền< /h1 >

Vào ngày 1 tháng 3 năm 2024, theo phản hồi từ người dùng Twitter @doomxbt, tài khoản Binance của anh ấy có những điểm bất thường và số tiền bị nghi ngờ đã bị đánh cắp:

(https: //x.com/doomxbt/status/1763237654965920175)

Sự việc này ban đầu không thu hút nhiều sự chú ý, nhưng vào ngày 28 tháng 5 năm 2024, Người dùng Twitter @Tree_of_Alpha's phân tích cho thấy nạn nhân @doomxbt bị nghi ngờ cài đặt tiện ích mở rộng Aggr độc hại có nhiều đánh giá tích cực trên cửa hàng Chrome! Nó có thể đánh cắp tất cả cookie từ các trang web mà người dùng truy cập và 2 tháng trước có người đã trả tiền cho một số người có ảnh hưởng để quảng cáo nó.

 (https://x.com/Tree_of_Alpha/status/1795403185349099740)

Vụ việc này đã thu hút nhiều sự chú ý hơn trong hai ngày qua và một số nạn nhân đã đăng nhập Sau đó, thông tin đăng nhập đã bị đánh cắp và sau đó tin tặc đã đánh cắp tài sản tiền điện tử của nạn nhân thông qua kiểm tra chéo. Nhiều người dùng đã tham khảo ý kiến ​​​​nhóm bảo mật SlowMist về vấn đề này. Tiếp theo, chúng tôi sẽ phân tích chi tiết cuộc tấn công và gióng lên hồi chuông cảnh báo cho cộng đồng mã hóa.

Phân tích

Đầu tiên, chúng ta phải tìm ra mã độc này sự mở rộng . Mặc dù Google đã loại bỏ tiện ích mở rộng độc hại nhưng chúng ta có thể xem một số dữ liệu lịch sử thông qua thông tin chụp nhanh.

Phân tích sau khi tải xuống. Các tệp JS từ thư mục là Background.js, content.js, jquery-3.6.0.min.js và jquery-3.5.1.min.js.

Trong quá trình phân tích tĩnh, chúng tôi nhận thấy rằng Background.js và content.js không có quá nhiều mã phức tạp cũng như không có logic mã đáng ngờ rõ ràng, nhưng chúng tôi đã tìm thấy rằng Background.js và content.js không có bất kỳ logic mã đáng ngờ rõ ràng nào. .js tìm thấy một liên kết đến một trang web và gửi dữ liệu mà plugin thu được tới https[:]//aggrtrade-extension[.]com/statistics_collection. /index[.]php.

Bằng cách phân tích tệp kê khai.json, bạn có thể thấy rằng nền sử dụng /jquery/jquery-3.6.0.min.js và nội dung sử dụng /jquery/jquery-3.5.1.min.js, vì vậy hãy tập trung vào phân tích Hai tệp jquery này:

Chúng tôi đã tìm thấy mã độc hại đáng ngờ trong jquery/jquery-3.6.0.min.js. Mã này đã xử lý cookie trong trình duyệt thông qua JSON và gửi chúng đến trang web: https [: ]//aggrtrade-extension[.]com/statistics_collection/index[.]php.

Sau khi phân tích tĩnh, để phân tích chính xác hơn hành vi gửi dữ liệu của các tiện ích mở rộng độc hại, chúng tôi bắt đầu cài đặt và gỡ lỗi các tiện ích mở rộng. (Lưu ý: Việc phân tích phải được thực hiện trong môi trường thử nghiệm mới. Không có tài khoản nào được đăng nhập vào môi trường và trang web độc hại phải được thay đổi thành một trang do chính bạn kiểm soát để tránh gửi dữ liệu nhạy cảm đến máy chủ của kẻ tấn công trong quá trình thử nghiệm)

Sau khi cài đặt tiện ích mở rộng độc hại trong môi trường thử nghiệm, hãy mở bất kỳ trang web nào, chẳng hạn như google.com, sau đó quan sát các yêu cầu mạng trong nền của tiện ích mở rộng độc hại và tìm rằng dữ liệu cookie của Google được gửi đến Máy chủ bên ngoài:

Chúng tôi cũng thấy dữ liệu cookie được gửi bởi các tiện ích mở rộng độc hại trên dịch vụ Weblog:

Tại thời điểm này, nếu kẻ tấn công lấy được xác thực người dùng, thông tin xác thực và thông tin khác và sử dụng tiện ích mở rộng trình duyệt để chiếm quyền điều khiển cookie, anh ta có thể thực hiện một số giao dịch. Trang web tiến hành các cuộc tấn công trực tiếp và đánh cắp tài sản tiền điện tử của người dùng.

Hãy cùng phân tích liên kết độc hại được trả về https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php.

Tên miền liên quan: aggrtrade-extension[.]com

Phân tích thông tin tên miền trong hình trên:

.ru trông giống như một điển hình Người dùng nói tiếng Nga nên khả năng cao đó là nhóm hacker người Nga hoặc Đông Âu.

Dòng thời gian tấn công:

Phân tích hàng giả AGGR ( aggr.trade) , aggrtrade-extension[.]com, người ta phát hiện ra rằng tin tặc bắt đầu lên kế hoạch tấn công từ 3 năm trước:

4 tháng trước, tin tặc đã triển khai cuộc tấn công:

Theo Mạng hợp tác tình báo mối đe dọa InMist, chúng tôi phát hiện IP của hacker đặt tại Moscow, sử dụng VPS do srvape.com cung cấp và địa chỉ email là [email protected].

Sau khi triển khai thành công, hacker bắt đầu quảng bá nó trên Twitter, chờ cá cắn câu. Mọi người đều biết câu chuyện đằng sau nó. Một số người dùng đã cài đặt các tiện ích mở rộng độc hại và sau đó các tập tin của họ bị đánh cắp.

Hình ảnh bên dưới là lời nhắc chính thức của AggrTrade:

Tóm tắt

Nhóm bảo mật SlowMist nhắc nhở người dùng rằng các tiện ích mở rộng của trình duyệt gần như có rủi ro như việc chạy trực tiếp các tệp thực thi, vì vậy chúng phải được xem xét cẩn thận trước khi cài đặt. Đồng thời, hãy cẩn thận với những người gửi tin nhắn riêng tư cho bạn. Tin tặc và những kẻ lừa đảo hiện nay thích giả vờ là các dự án hợp pháp và nổi tiếng, đồng thời lừa gạt những người sáng tạo nội dung dưới danh nghĩa tài trợ, quảng cáo, v.v. Cuối cùng, khi bước vào khu rừng đen tối của blockchain, hãy luôn giữ thái độ hoài nghi và đảm bảo rằng những gì bạn cài đặt đều an toàn và không cho phép hacker lợi dụng.