Sói đội lốt cừu: Phân tích vụ trộm tiện ích mở rộng Chrome lừa đảo

Vào ngày 1 tháng 3 năm 2024, theo phản hồi từ người dùng Twitter @doomxbt, một tình huống bất thường đã xảy ra với tài khoản Binance của họ, với số tiền bị nghi ngờ đã bị đánh cắp:

Ban đầu, sự việc này không thu hút được nhiều sự chú ý. Tuy nhiên, vào ngày 28 tháng 5 năm 2024, người dùng Twitter @Tree_of_Alpha đã phân tích và phát hiện ra rằng nạn nhân @doomxbt có khả năng đã cài đặt tiện ích mở rộng Aggr độc hại từ cửa hàng Chrome và được nhiều đánh giá tích cực! Tiện ích mở rộng này có thể đánh cắp tất cả cookie từ các trang web mà người dùng truy cập và hai tháng trước, ai đó đã trả tiền cho những người có ảnh hưởng để quảng cáo tiện ích mở rộng này.

Gần đây, sự chú ý đến vụ việc này đã tăng lên. Một số nạn nhân đã bị đánh cắp thông tin đăng nhập và sau đó, tin tặc đã sử dụng những thông tin này để đánh cắp thông tin đăng nhập của nạn nhân. tài sản tiền điện tử thông qua các cuộc tấn công phối hợp. Nhiều người dùng đã tham khảo ý kiến ​​của nhóm bảo mật SlowMist về vấn đề này. Tiếp theo, chúng tôi sẽ phân tích chi tiết vụ tấn công này để gióng lên hồi chuông cảnh báo cho cộng đồng tiền điện tử.

Đầu tiên, chúng ta cần xác định vị trí tiện ích mở rộng độc hại này. Mặc dù Google đã xóa tiện ích mở rộng độc hại này nhưng chúng ta vẫn có thể xem được một số dữ liệu lịch sử thông qua thông tin chụp nhanh.

Sau khi tải xuống và phân tích, các tệp JS chính trong thư mục là Background.js, Content.js, jquery-3.6.0.min.js và jquery-3.5.1.min.js.

Trong quá trình phân tích tĩnh, chúng tôi nhận thấy rằng Background.js và content.js không chứa nhiều mã phức tạp và cũng không có bất kỳ logic mã đáng ngờ rõ ràng nào. Tuy nhiên, chúng tôi đã tìm thấy một liên kết trang web trong Background.js, liên kết này sẽ gửi dữ liệu mà plugin thu được tới https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php.

Bằng cách phân tích tệp kê khai.json, chúng ta có thể thấy rằng nền sử dụng /jquery/jquery-3.6.0.min.js và nội dung sử dụng /jquery/jquery-3.5.1.min.js. Vì vậy, chúng tôi tập trung phân tích hai tệp jquery này:

Trong jquery/jquery-3.6.0.min.js, chúng tôi đã tìm thấy mã độc đáng ngờ xử lý cookie của trình duyệt thông qua JSON và gửi chúng đến trang web: https[:]//aggrtrade-extension[.]com/ stats_collection/index[.]php.

Sau khi phân tích tĩnh, để phân tích chính xác hơn hành vi của tiện ích mở rộng độc hại trong việc gửi dữ liệu, chúng tôi bắt đầu cài đặt và gỡ lỗi tiện ích mở rộng. (Lưu ý: Phân tích phải được tiến hành trong môi trường thử nghiệm hoàn toàn mới không có tài khoản đăng nhập và trang web độc hại phải được thay đổi thành trang được kiểm soát để tránh gửi dữ liệu nhạy cảm đến máy chủ của kẻ tấn công trong quá trình thử nghiệm).

Sau khi cài đặt tiện ích mở rộng độc hại trong môi trường thử nghiệm, chúng tôi đã mở bất kỳ trang web nào, chẳng hạn như google.com và quan sát các yêu cầu mạng trong nền tiện ích mở rộng độc hại, nhận thấy rằng dữ liệu cookie của Google đã được gửi đến máy chủ bên ngoài:

Chúng tôi cũng thấy dữ liệu cookie được gửi bởi tiện ích mở rộng độc hại trên dịch vụ Weblog:

Tại thời điểm này, nếu kẻ tấn công có được thông tin xác thực người dùng thông qua tiện ích mở rộng trình duyệt chiếm quyền điều khiển cookie, chúng có thể thực hiện các cuộc tấn công phối hợp trên một số trang web giao dịch để đánh cắp thông tin của người dùng. tài sản tiền điện tử.

Tiếp theo, chúng tôi đã phân tích liên kết độc hại https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php.

Tên miền liên quan: aggrtrade-extension[.]com

Phân tích thông tin tên miền được hiển thị ở trên:

.ru dường như là một người dùng điển hình ở Nga nên rất có thể đó là một nhóm hacker người Nga hoặc Đông Âu.

Dòng thời gian tấn công:

Phân tích trang web độc hại AGGR (aggr.trade) giả mạo aggrtrade-extension[.]com, chúng tôi phát hiện ra rằng tin tặc đã lên kế hoạch tấn công trong ba năm:

Bốn tháng trước, tin tặc đã triển khai cuộc tấn công:

Theo mạng cộng tác tình báo mối đe dọa InMist, chúng tôi phát hiện ra rằng IP của hacker được đặt tại Moscow, sử dụng VPS do srvape.com cung cấp và email là aggrdev@gmail.com .

Sau khi triển khai thành công, tin tặc bắt đầu quảng bá trên Twitter, chờ nạn nhân cắn câu. Phần còn lại của câu chuyện đã được nhiều người biết đến; một số người dùng đã cài đặt tiện ích mở rộng độc hại và sau đó bị cướp.

Dưới đây là cảnh báo chính thức từ AggrTrade:

Nhóm bảo mật SlowMist nhắc nhở người dùng rằng rủi ro của các tiện ích mở rộng trình duyệt gần như lớn bằng việc chạy trực tiếp các tệp thực thi, vì vậy hãy nhớ xem xét kỹ lưỡng chúng trước khi cài đặt. Ngoài ra, hãy cảnh giác với những người gửi tin nhắn riêng tư cho bạn. Ngày nay, tin tặc và kẻ lừa đảo thích mạo danh các dự án hợp pháp, nổi tiếng để lừa đảo người sáng tạo nội dung dưới chiêu bài tài trợ hoặc quảng cáo. Cuối cùng, hãy luôn duy trì thái độ hoài nghi khi khám phá khu rừng tối blockchain, đảm bảo rằng những gì bạn cài đặt là an toàn và không tạo cơ hội cho tin tặc khai thác.