Недавно пользователи криптосообщества понесли значительные имущественные потери из-за загрузки вредоносного расширения Chrome Aggr, которое привлекло всеобщее внимание. Чтобы помочь пользователям лучше понять риски, связанные с расширениями браузера, и улучшить свои собственные возможности защиты, команда безопасности SlowMist 23pds подробно проанализировала, как работает это вредоносное расширение, и предоставила практические рекомендации по безопасности.
(Подробнее см. в оригинальной статье: Slow Mist: вредоносное расширение Chrome украло миллионы долларов, чтобы разгадать тайну)
Предупреждение сообщества привлекает внимание
3 июня 2024 года пользователь Twitter @CryptoNakamao рассказал о своем опыте кражи 1 миллиона долларов из-за загрузки вредоносного расширения Chrome Aggr. Этот инцидент быстро вызвал широкую дискуссию в криптосообществе: пользователи выразили обеспокоенность по поводу рисков расширения и безопасности своих криптоактивов.
(Программное расширение Google вызвало проблемы! 1 миллион долларов, исчезнувший со счета Binance, будет сложно вернуть, даже если вы будете сидеть на месте)
Анализ команды безопасности SlowMist
Еще 31 мая команда безопасности SlowMist опубликовала подробный аналитический отчет о расширении Aggr, раскрывающий его злые методы. Эта статья помогает пользователям понять базовые знания и потенциальные риски расширений Chrome с помощью шести вопросов и ответов, а также предлагает меры противодействия.
1. Что такое расширения Chrome?
Расширения Chrome — это плагины, разработанные для браузера Google, которые расширяют функциональность и поведение браузера. Обычно они создаются с использованием веб-технологий, таких как HTML, CSS и JavaScript. Основные части включают в себя:
– Manifest.json: файл расширенной конфигурации, определяющий основную информацию.
– Фоновый сценарий: обрабатывает фоновые задачи.
– Сценарии контента: взаимодействуйте с веб-страницами.
– Пользовательский интерфейс: например, кнопки панели инструментов, всплывающие окна и т. д.
2. Что делает расширение Chrome?
Расширения Chrome служат различным целям, в том числе:
– Блокировка рекламы: улучшите скорость загрузки веб-страницы и удобство использования, например AdBlock.
– Конфиденциальность и безопасность: повысьте конфиденциальность и безопасность пользователей, например Privacy Badger.
– Инструменты повышения производительности: повысьте свою продуктивность, например Todoist.
– Инструменты разработчика: предоставляет инструменты отладки и разработки, такие как инструменты разработчика React.
– Социальные сети и общение: удобные уведомления в социальных сетях, таких как Grammarly.
– Настройка веб-страницы: настройка внешнего вида и поведения веб-страницы, например «Стильный».
– Автоматизация задач: помогает автоматизировать повторяющиеся задачи, такие как iMacros.
– Языковой перевод: переводите веб-контент в режиме реального времени, например, с помощью Google Translate.
– Помощь в криптовалюте: облегчает торговлю криптовалютой, например MetaMask.
3. Какие разрешения имеет расширение Chrome после установки?
Расширения Chrome могут запрашивать следующие разрешения:
– <all_urls>: доступ ко всему содержимому веб-сайта.
– Вкладки: доступ к информации о вкладках браузера.
– activeTab: временный доступ к текущей активной вкладке.
– хранилище: используйте API хранилища Chrome.
– Файлы cookie: доступ и изменение файлов cookie в вашем браузере.
– webRequest: перехватывать и изменять сетевые запросы.
– закладки: доступ и изменение закладок браузера.
– История: доступ и изменение истории браузера.
– Уведомления: отображение уведомлений на рабочем столе.
– contextMenus: добавление пользовательских пунктов меню.
– геолокация: доступ к информации о географическом местоположении пользователя.
– clipboardRead и clipboardWrite: чтение и запись содержимого буфера обмена.
– загрузки: управление загрузками.
– управление: управление другими расширениями и приложениями.
– Фон: запуск задач в фоновом режиме.
– webNavigation: отслеживание и изменение поведения навигации в браузере.
Хотя эти разрешения предоставляют мощные функциональные возможности, они также потенциально могут получить доступ к конфиденциальным данным пользователя.
4. Почему вредоносные расширения Chrome могут украсть разрешения пользователей?
Вредоносные расширения используют запрошенные разрешения для кражи пользовательской информации и данных аутентификации. К конкретным методам относятся:
– Запросить широкие разрешения: например, доступ ко всем сайтам, чтение и изменение тегов, доступ к хранилищу и т. д.
– Манипулировать сетевыми запросами: перехватывать и изменять сетевые запросы, а также красть данные аутентификации.
– Чтение и запись содержимого страницы: чтение и изменение данных страницы с помощью встроенного кода.
– Доступ к хранилищу браузера: доступ к локальным данным, содержащим конфиденциальную информацию.
– Манипулировать буфером обмена: читать и изменять информацию, скопированную и вставленную пользователем.
– Притворитесь законным веб-сайтом: побудите пользователей ввести конфиденциальную информацию.
– Длительная фоновая работа: постоянно отслеживайте действия пользователей и собирайте данные.
– Оперативная загрузка: загрузка и запуск вредоносных файлов, угрожающих безопасности системы.
5. Как вредоносные расширения крадут права и средства пользователей?
Вредоносное расширение Aggr использует широкий спектр разрешений (например, файлы cookie, вкладки, <all_urls>, хранилище) для кражи разрешений пользователей и средств следующими способами:
– Имитировать вход пользователя в учетную запись торговой платформы.
– Транзакции и переводы средств без согласия.
– Доступ и сбор конфиденциальной информации.
– Изменение настроек учетной записи и контроль учетных записей пользователей.
– Проводить атаки социальной инженерии для дальнейшего получения конфиденциальной информации.
6. Что может сделать вредоносное расширение после кражи файлов cookie?
Вредоносные расширения могут использовать украденные файлы cookie для:
– Доступ к информации об учетной записи.
– Совершать несанкционированные транзакции.
– Обойти двухэтапную верификацию и вывести средства.
– Доступ и сбор конфиденциальной информации.
– Изменить настройки учетной записи.
– Выдача себя за пользователей для проведения атак с использованием социальной инженерии.
Ответы
Меры противодействия для отдельных пользователей
– Повышайте осведомленность о личной безопасности: сохраняйте скептицизм.
– Устанавливайте расширения только из надежных источников: читайте отзывы пользователей и запросы разрешений.
– Используйте безопасную среду браузера: избегайте установки расширений из неизвестных источников.
– Регулярно проверяйте активность учетной записи: примите незамедлительные меры, если заметите подозрительное поведение.
– Используйте аппаратные кошельки: храните большие объемы активов.
– Настройки браузера и инструменты безопасности: снижают риск вредоносных расширений.
– Используйте программное обеспечение безопасности: обнаруживайте и предотвращайте вредоносное ПО.
Предложения по контролю рисков для платформы
– Обеспечьте использование двухфакторной аутентификации (2FA): Обеспечьте безопасность учетных записей пользователей.
– Управление сеансами и безопасность: управляйте устройствами, вошедшими в систему, и реализуйте политики таймаута сеанса.
– Усиление настроек безопасности учетной записи: отправка уведомлений о безопасности и предоставление функций заморозки учетной записи.
– Укрепить системы мониторинга и контроля рисков: отслеживать поведение пользователей и выявлять аномальные транзакции.
– Предоставьте пользователям обучение и инструменты в области безопасности: популяризируйте знания о безопасности и предоставьте официальные инструменты безопасности.
Безопасность и бизнес должны быть сбалансированы. Защищая безопасность учетных записей и активов пользователей, платформы также должны учитывать удобство работы пользователей. Команда безопасности SlowMist рекомендует пользователям перед установкой программного обеспечения или плагинов спросить себя, безопасно ли это, чтобы избежать превращения историй в несчастные случаи. Для получения дополнительных знаний о безопасности прочтите «Руководство по самоспасению Blockchain Dark Forest», выпущенное SlowMist.
Эта статья «Информационная компания Slow Mist раскрывает: правда о вредоносном программном расширении Chrome, украденном миллионы долларов» впервые появилась на Chain News ABMedia.
