Tim Keamanan Mountain&Thinking@Slow Mist
latar belakang
Pada tanggal 1 Maret 2024, menurut masukan dari pengguna Twitter @doomxbt, terdapat kelainan pada akun Binance miliknya dan dana diduga telah dicuri:
Kejadian ini pada awalnya tidak menarik banyak perhatian, namun pada tanggal 28 Mei 2024, analisis oleh pengguna Twitter @Tree_of_Alpha menemukan bahwa korban @doomxbt diduga memasang ekstensi Aggr berbahaya dengan banyak ulasan positif di toko Chrome (kami belum secara langsung menghubungi Korban meminta konfirmasi)! Itu dapat mencuri semua cookie dari situs web yang dikunjungi pengguna dan 2 bulan yang lalu seseorang membayar beberapa influencer untuk mempromosikannya.
Dalam dua hari terakhir, kejadian ini semakin menarik perhatian. Kredensial korban setelah login dicuri, dan kemudian peretas mencuri aset cryptocurrency korban melalui peretasan. Selanjutnya, kami akan menganalisis insiden serangan tersebut secara mendetail dan memberikan peringatan bagi komunitas enkripsi.
menganalisa
Pertama, kita harus menemukan ekstensi berbahaya. Meskipun Google telah menghapus ekstensi berbahaya tersebut, kami dapat melihat beberapa data historis melalui informasi cuplikan.
Setelah diunduh dan dianalisis, file JS dari direktori tersebut adalah background.js, content.js, jquery-3.6.0.min.js, jquery-3.5.1.min.js.
Selama proses analisis statis, kami menemukan bahwa background.js dan content.js tidak memiliki terlalu banyak kode rumit, dan tidak ada logika kode yang mencurigakan. Namun, kami menemukan tautan ke situs di background.js, dan datanya diperoleh plug-in dikirim ke https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php.
Dengan menganalisis file manifest.json, Anda dapat melihat bahwa latar belakang menggunakan /jquery/jquery-3.6.0.min.js dan konten menggunakan /jquery/jquery-3.5.1.min.js, jadi mari fokus menganalisis kedua jquery ini mengajukan:
Kami menemukan kode berbahaya yang mencurigakan di jquery/jquery-3.6.0.min.js. Kode tersebut memproses cookie di browser melalui JSON dan mengirimkannya ke situs: https[:]//aggrtrade-extension[.]com/ stats_collection /index[.]php.
Setelah analisis statis, untuk menganalisis secara lebih akurat perilaku ekstensi jahat yang mengirimkan data, kami mulai memasang dan men-debug ekstensi tersebut. (Catatan: Analisis harus dilakukan di lingkungan pengujian baru. Tidak ada akun yang masuk ke lingkungan tersebut, dan situs berbahaya harus diubah menjadi situs yang dapat dikontrol sendiri untuk menghindari pengiriman data sensitif ke server penyerang selama pengujian)
Setelah memasang ekstensi berbahaya di lingkungan pengujian, buka situs web apa pun, seperti google.com, lalu amati permintaan jaringan di latar belakang ekstensi berbahaya tersebut, dan temukan bahwa data cookie Google dikirim ke server eksternal:
Kami juga melihat data cookie yang dikirim oleh ekstensi jahat di layanan Weblog:
Pada titik ini, jika penyerang memperoleh otentikasi pengguna, kredensial, dan informasi lainnya serta menggunakan ekstensi browser untuk membajak cookie, mereka dapat melakukan serangan langsung pada beberapa situs web perdagangan dan mencuri aset terenkripsi pengguna.
Mari kita analisis tautan berbahaya yang dikembalikan https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php.
Nama domain yang terlibat: aggrtrade-extension[.]com
Parsing informasi nama domain pada gambar di atas:
.ru tampaknya merupakan pengguna biasa di wilayah berbahasa Rusia, jadi kemungkinan besar itu adalah kelompok peretas Rusia atau Eropa Timur.
Garis waktu serangan:
Menganalisis situs web jahat aggrtrade-extension[.]com yang memalsukan AGGR (aggr.trade), kami menemukan bahwa peretas mulai merencanakan serangan 3 tahun lalu:
4 bulan lalu, peretas melancarkan serangan:
Menurut Jaringan Kerja Sama Intelijen Ancaman InMist, kami menemukan bahwa IP peretas berlokasi di Moskow, menggunakan VPS yang disediakan oleh srvape.com, dan alamat emailnya adalah aggrdev@gmail.com.
Setelah penerapannya berhasil, para peretas mulai mempromosikannya di Twitter, menunggu ikan mengambil umpannya. Semua orang tahu cerita di baliknya. Beberapa pengguna memasang ekstensi berbahaya dan kemudian file mereka dicuri.
Gambar di bawah ini adalah pengingat resmi dari AggrTrade:
Ringkaslah
Tim keamanan SlowMist mengingatkan pengguna bahwa ekstensi browser hampir sama risikonya dengan menjalankan file yang dapat dieksekusi secara langsung, jadi pastikan untuk meninjaunya dengan cermat sebelum pemasangan. Pada saat yang sama, berhati-hatilah terhadap mereka yang mengirimi Anda pesan pribadi. Peretas dan penipu kini suka berpura-pura menjadi proyek yang sah dan terkenal, serta menipu pembuat konten atas nama pendanaan, promosi, dll. Terakhir, saat berjalan di hutan gelap blockchain, selalu pertahankan sikap skeptis dan pastikan apa yang Anda instal aman dan tidak memungkinkan peretas memanfaatkannya.