披着羊皮的狼：假冒 Chrome 浏览器扩展盗窃案分析

2024 年 3 月 1 日，根据 Twitter 用户 @doomxbt 的反馈，其 Binance 账户出现异常情况，资金疑似被盗：

起初，这一事件并未引起太多关注。然而，2024 年 5 月 28 日，Twitter 用户 @Tree_of_Alpha 分析发现，受害者 @doomxbt 很可能安装了 Chrome 浏览器商店中的恶意 Aggr 扩展，该扩展有很多好评！这个扩展可以窃取用户访问过的网站的所有 cookie，两个月前，有人付钱给有影响力的人推广它。

最近，人们对这一事件的关注有所增加。一些受害者的登录凭证被盗，随后黑客利用这些凭证通过协同攻击窃取了受害者的加密货币资产。许多用户就此问题咨询了 SlowMist 安全团队。接下来，我们将详细分析此次攻击事件，为加密货币社区敲响警钟。

首先，我们需要找到这个恶意扩展。虽然谷歌已经删除了这个恶意扩展，但我们仍然可以通过快照信息看到一些历史数据。

下载并分析后，目录中的主要 JS 文件有 background.js、content.js、jquery-3.6.0.min.js 和 jquery-3.5.1.min.js。

在静态分析过程中，我们发现 background.js 和 content.js 没有包含太多复杂的代码，也没有任何明显可疑的代码逻辑。不过，我们在 background.js 中发现了一个网站链接，它将插件获取的数据发送到 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。

通过分析 manifest.json 文件，我们可以看到 background 使用了 /jquery/jquery-3.6.0.min.js，而 content 使用了 /jquery/jquery-3.5.1.min.js。因此，我们重点分析了这两个 jquery 文件：

在 jquery/jquery-3.6.0.min.js 中，我们发现了可疑的恶意代码，它通过 JSON 处理浏览器的 cookie 并将其发送到以下网站：https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。

静态分析结束后，为了更准确地分析恶意扩展发送数据的行为，我们开始安装和调试该扩展。(注：分析应在没有登录账户的全新测试环境中进行，恶意网站应改为受控网站，以避免在测试期间向攻击者服务器发送敏感数据）。

在测试环境中安装恶意扩展后，我们打开任何网站，如 google.com，观察恶意扩展后台的网络请求，发现 Google'cookie 数据被发送到外部服务器：

我们还看到了恶意扩展程序在网络日志服务上发送的 cookies 数据：

此时，如果攻击者通过浏览器扩展劫持 cookie 获取了用户验证凭据，他们就可以对一些交易网站进行协同攻击，窃取用户的加密货币资产'。

接下来，我们分析了恶意链接 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。

涉及的域：aggrtrade-extension[.］

解析上面显示的域名信息：

.ru似乎是典型的俄罗斯用户，因此极有可能是俄罗斯或东欧的黑客组织。

攻击时间表：

通过分析伪造的 AGGR（aggr.trade）恶意网站 aggrtrade-extension[.]com 发现，黑客策划这次攻击已有三年之久：

四个月前，黑客部署了这次攻击：

根据 InMist 威胁情报协作网络，我们发现黑客的 IP 位于莫斯科，使用的是由 srvape.com 提供的 VPS，电子邮件是[email protected] .

成功部署后，黑客开始在 Twitter 上进行宣传，等待受害者上钩。接下来的故事众所周知：一些用户安装了恶意扩展，然后被盗。

以下是 AggrTrade 的官方警告：

SlowMist 安全团队提醒用户，浏览器扩展的风险几乎和直接运行可执行文件一样大，因此在安装前一定要彻底检查。此外，还要警惕向你发送私人信息的人。如今，黑客和骗子喜欢假冒合法的知名项目，以赞助或推广为幌子，对内容创作者进行诈骗。最后，在浏览区块链黑暗森林时，始终保持怀疑的态度，确保您安装的内容是安全的，不给黑客任何可乘之机。