背景

2024年3月1日、Twitterユーザー@doomxbtによると、バイナンスアカウントに異常な状況が発生し、資金が盗まれた疑いがあります。

(https://x.com/doomxbt/status/1763237654965920175)

当初、この事件はあまり注目されませんでした。しかし、2024年5月28日、Twitterユーザー@Tree_of_アルファが分析したところ、被害者@doomxbtがChromeウェブストアから悪意のあるAggr拡張機能をインストールした可能性が高いことが分かりました(被害者に直接確認したわけではありません)!この拡張機能は、ユーザーがアクセスしたWebサイトからすべてのCookieを盗むことができ、2か月前に、誰かが影響力のある個人にお金を払って宣伝しました。

(https://x.com/Tree_of_Alpha/status/1795403185349099740)

ここ数日、この事件への注目が高まっています。ログインしている被害者の資格情報が盗まれ、その後、ハッカーはブルートフォース攻撃によって被害者から暗号通貨資産を盗むことに成功しました。この問題について、多くのユーザーがSlowMistセキュリティチームに相談しています。次に、この攻撃イベントを詳細に分析して、暗号コミュニティに警鐘を鳴らします。

分析

まず、この悪意のある拡張機能を見つける必要があります。Googleはすでに悪意のある拡張機能を削除していますが、スナップショット情報を介して一部の履歴データにアクセスできます。

拡張機能をダウンロードして分析した後、ディレクトリにbackground.js、content.js、jquery-3.6.0.min.js、jquery-3.5.1.min.jsのいくつかのJSファイルが見つかりました。

静的解析では、background.jsやcontent.jsには過度に複雑なコードが含まれておらず、明らかな疑わしいコードロジックも含まれていないことがわかりました。しかし、background.js、Webサイトへのリンクが見つかり、プラグインはデータを収集してhttps[:]//aggrtrade-extension[.]com/statistics_collection/index[.]Php。

manifest.jsonファイルを分析すると、background.js は /jquery/jquery-3.6.0.min.js を使用し、content.js は /jquery/jquery-3.5.1.min.js を使用していることがわかります。これら 2 つの jQuery ファイルの分析に焦点を絞ってみましょう。

jquery/jquery-3.6.0.min.js に不審な悪意のあるコードが発見されました。このコードは、ブラウザのCookieをJSON形式に処理し、サイトに送信します:https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]Php。

静的分析の後、データ送信時の悪意のある拡張機能の動作をより正確に分析するための注文では、拡張機能のインストールとデバッグから始めます。(注:分析は、アカウントがログインしていないまったく新しいテスト環境で実施し、悪意のあるサイトを制御されたサイトに変更して、攻撃者のサーバーに機密データが送信されないようにする必要があります。

悪意のある拡張機能がテスト環境にインストールされたら、google.com などの任意の Web サイトを開き、悪意のある拡張機能によってバックグラウンドで行われたネットワーク要求を観察します。GoogleからのCookieデータが外部サーバーに送信されていることを確認しました。

また、Weblogサービス上の悪意のある拡張機能によって送信されたCookieデータも確認されました。

この時点で、攻撃者がユーザー認証や資格情報などにアクセスし、ブラウザ拡張機能のCookieハイジャックを利用すると、特定の取引Webサイトでリプレイ攻撃を行い、ユーザーの暗号通貨資産を盗むことができます。

悪意のあるリンクを再度分析してみましょう: https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]Php。

関連するドメイン: aggrtrade-extension[.]Com

上の図のドメイン名情報を解析します。

.ruは、ロシア語圏の典型的なユーザーである可能性を示しており、ロシアまたは東欧のハッカーグループが関与している可能性が高いことを示唆しています。

攻撃のタイムライン:

AGGR(aggr.trade)を模倣した悪意のあるWebサイト、aggrtrade-extension[.]comでは、ハッカーが3年前に攻撃を計画し始めたことがわかりました。

4か月前、ハッカーは攻撃を展開しました。

InMist脅威インテリジェンス協力ネットワークによると、ハッカーのIPはモスクワにあり、srvape.com が提供するVPSを利用していることがわかりました。メールアドレスは aggrdev@gmail.com です。

展開に成功した後、ハッカーはTwitterで宣伝を開始し、無防備な被害者が罠に下落するのを待ちました。残りの話については、よく知られていますが、一部のユーザーが悪意のある拡張機能をインストールし、その後盗難の被害に遭いました。

次の画像はAggrTradeの公式警告です。

概要

SlowMistセキュリティチームは、ブラウザ拡張機能のリスクは、実行可能ファイルを直接実行するのとほぼ同じくらい大きいことをすべてのユーザーにアドバイスしています。したがって、インストールする前に慎重に確認することが重要です。また、プライベートメッセージを送る人には注意してください。現在、ハッカーや詐欺師は、合法的で有名なプロジェクトになりすまし、スポンサーシップやプロモーションの機会を提供すると主張し、コンテンツクリエーターを詐欺の標的にすることがよくあります。最後に、ブロックチェーンの暗い森をナビゲートするときは、インストールするものが安全でハッカーによる悪用の影響を受けないように、常に懐疑的な態度を維持してください。

ステートメント:

1. この記事は[慢雾科技、原題は『羊の服を着た狼 |Fake Chrome Extension Theft Analysis」、著作権は原作者に帰属します [Mountain&Thinking@Slow Mist Security Team]、転載に異議がある場合は、Gate Learn Team)までご連絡ください。、チームは関連する手順に従ってできるだけ早く処理します。

2. 免責事項:この記事で表明された見解や意見は、著者の個人的な見解を表しているにすぎず、投資アドバイスを構成するものではありません。

3. 記事の他の言語版はGate Learnチームによって翻訳されており、Gate.io で言及されていない場合、翻訳された記事を複製、配布、または盗用することはできません。