Autor original: Shan, Thinking, equipo de seguridad de Slow Mist

fondo

El 1 de marzo de 2024, según los comentarios del usuario de Twitter @doomxbt, hubo anomalías en su cuenta de Binance y se sospechaba que habían robado fondos:

(https://x.com/doomxbt/status/1763237654965920175)

Este incidente no llamó mucho la atención al principio, pero el 28 de mayo de 2024, el análisis del usuario de Twitter @Tree_of_Alpha encontró que se sospechaba que la víctima @doomxbt había instalado una extensión Aggr maliciosa que tiene muchas críticas positivas en la tienda de Chrome. Puede robar todas las cookies de los sitios web que visitan los usuarios y hace 2 meses alguien pagó a algunos influencers para promocionarlo.

(https://x.com/Tree_of_Alpha/status/1795403185349099740)

Este incidente ha atraído más atención en los últimos dos días. Las credenciales de una víctima fueron robadas después de iniciar sesión y luego los piratas informáticos robaron los activos de criptomonedas de la víctima mediante piratería. Muchos usuarios consultaron al equipo de seguridad de SlowMist sobre este tema. A continuación, analizaremos el ataque en detalle y haremos sonar la alarma para la comunidad de cifrado.

analizar

Primero, tenemos que encontrar la extensión maliciosa. Aunque Google eliminó la extensión maliciosa, podemos ver algunos datos históricos a través de información instantánea.

Después de descargar y analizar, los archivos JS del directorio son background.js, content.js, jquery-3.6.0.min.js, jquery-3.5.1.min.js.

Durante el proceso de análisis estático, descubrimos que background.js y content.js no tenían mucho código complicado ni una lógica de código sospechosa obvia. Sin embargo, encontramos un enlace al sitio en background.js y los datos obtenidos por el complemento. -in se envió a https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php.

Al analizar el archivo manifest.json, puede ver que el fondo usa /jquery/jquery-3.6.0.min.js y el contenido usa /jquery/jquery-3.5.1.min.js, así que centrémonos en analizar estos dos jquery. archivo:

Encontramos código malicioso sospechoso en jquery/jquery-3.6.0.min.js. El código procesa las cookies en el navegador a través de JSON y las envía al sitio: https[:]//aggrtrade-extension[.]com/ stats_collection. /índice[.]php.

Después del análisis estático, para analizar con mayor precisión el comportamiento de las extensiones maliciosas que envían datos, comenzamos a instalar y depurar las extensiones. (Nota: el análisis debe realizarse en un nuevo entorno de prueba. No se inicia sesión en ninguna cuenta en el entorno y el sitio malicioso debe cambiarse a uno que usted pueda controlar para evitar enviar datos confidenciales al servidor del atacante durante la prueba).

Después de instalar la extensión maliciosa en el entorno de prueba, abra cualquier sitio web, como google.com, luego observe las solicitudes de red en segundo plano de la extensión maliciosa y descubra que los datos de las cookies de Google se envían a un servidor externo:

También vimos datos de cookies enviados por extensiones maliciosas en el servicio Weblog:

En este punto, si un atacante obtiene autenticación de usuario, credenciales y otra información y utiliza extensiones de navegador para secuestrar cookies, puede realizar ataques en cadena en algunos sitios web comerciales y robar los activos cifrados de los usuarios.

Analicemos el enlace malicioso devuelto https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php.

Nombre de dominio involucrado: aggrtrade-extension[.]com

Analice la información del nombre de dominio en la imagen de arriba:

.ru parece ser un usuario típico en el área de habla rusa, por lo que lo más probable es que se trate de un grupo de hackers ruso o de Europa del Este.

Cronograma del ataque:

Al analizar el sitio web malicioso aggrtrade-extension[.]com que falsifica AGGR (aggr.trade), descubrimos que el hacker comenzó a planificar el ataque hace 3 años:

Hace 4 meses, los piratas informáticos implementaron el ataque:

Según InMist Threat Intelligence Collaboration Network, descubrimos que la IP del hacker se encuentra en Moscú, utilizando un VPS proporcionado por srvape.com, y la dirección de correo electrónico es aggrdev@gmail.com.

Una vez que la implementación es exitosa, los piratas informáticos comienzan a promocionarlo en Twitter, esperando que los peces muerdan el anzuelo. Todo el mundo conoce la historia detrás de esto. Algunos usuarios instalaron extensiones maliciosas y luego les robaron sus archivos.

La siguiente imagen es el recordatorio oficial de AggrTrade:

Resumir

El equipo de seguridad de SlowMist recuerda a los usuarios que las extensiones del navegador son casi tan riesgosas como ejecutar archivos ejecutables directamente, así que asegúrese de revisarlas detenidamente antes de la instalación. Al mismo tiempo, tenga cuidado con quienes le envían mensajes privados. A los piratas informáticos y estafadores ahora les gusta hacerse pasar por proyectos legítimos y conocidos, y defraudar a los creadores de contenidos en nombre de la financiación, la promoción, etc. Finalmente, cuando camine por el bosque oscuro de blockchain, mantenga siempre una actitud escéptica y asegúrese de que lo que instale sea seguro.