作者:山&Thinking@慢雾安全团队
2024 年 3 月 1 日,据推特用户 @doomxbt 反馈,其币安账户存在异常情况,资金疑似被盗:
(https://x.com/doomxbt/status/1763237654965920175)
一开始这个事件没有引起太大关注,但在 2024 年 5 月 28 日,推特用户 @Tree_of_Alpha 分析发现受害者 @doomxbt 疑似安装了一个 Chrome 商店中有很多好评的恶意 Aggr 扩展程序!它可以窃取用户访问的网站上的所有 cookies,并且 2 个月前有人付钱给一些有影响力的人来推广它。
(https://x.com/Tree_of_Alpha/status/1795403185349099740)
这两天此事件关注度提升,有受害者登录后的凭证被盗取,随后黑客通过对敲盗走受害者的加密货币资产,不少用户咨询慢雾安全团队这个问题。接下来我们会具体分析该攻击事件,为加密社区敲响警钟。
首先,我们得找到这个恶意扩展。虽然已经 Google 已经下架了该恶意扩展,但是我们可以通过快照信息看到一些历史数据。
下载后进行分析,从目录上 JS 文件是 background.js,content.js,jquery-3.6.0.min.js,jquery-3.5.1.min.js。
静态分析过程中,我们发现 background.js 和 content.js 没有太多复杂的代码,也没有明显的可疑代码逻辑,但是我们在 background.js 发现一个站点的链接,并且会将插件获取的数据发送到https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
通过分析 manifest.json 文件,可以看到 background 使用了 /jquery/jquery-3.6.0.min.js,content 使用了 /jquery/jquery-3.5.1.min.js,于是我们来聚焦分析这两个 jquery 文件:
我们在jquery/jquery-3.6.0.min.js 中发现了可疑的恶意代码,代码将浏览器中的 cookies 通过 JSON 处理后发送到了 site :https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
静态分析后,为了能够更准确地分析恶意扩展发送数据的行为,我们开始对扩展进行安装和调试。(注意:要在全新的测试环境中进行分析,环境中没有登录任何账号,并且将恶意的 site 改成自己可控的,避免测试中将敏感数据发送到攻击者的服务器上)
在测试环境中安装好恶意扩展后,打开任意网站,比如 google.com,然后观察恶意扩展 background 中的网络请求,发现 Google 的 cookies 数据被发送到了外部服务器:
我们在 Weblog 服务上也看到了恶意扩展发送的 cookies 数据:
至此,如果攻击者拿到用户认证、凭证等信息,使用浏览器扩展劫持 cookies,就可以在一些交易网站进行对敲攻击,盗窃用户的加密资产。
我们再分析下回传恶意链接https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
涉及域名:aggrtrade-extension[.]com
解析上图的域名信息:
.ru 看起来是典型的俄语区用户,所以大概率是俄罗斯或东欧黑客团伙。
攻击时间线:
分析仿冒AGGR (aggr.trade)的恶意网站 aggrtrade-extension[.]com,发现黑客 3 年前就开始谋划攻击:
4 个月前,黑客部署攻击:
根据 InMist 威胁情报合作网络,我们查到黑客的 IP 位于莫斯科,使用 srvape.com 提供的 VPS ,邮箱是aggrdev@gmail.com。
部署成功后,黑客便开始在推特上推广,等待鱼儿上钩。后面的故事大家都知道了,一些用户安装了恶意扩展,然后被盗。
下图是 AggrTrade 的官方提醒:
慢雾安全团队提醒广大用户,浏览器扩展的风险几乎和直接运行可执行文件一样大,所以在安装前一定要仔细审核。同时,小心那些给你发私信的人,现在黑客和骗子都喜欢冒充合法、知名项目,以资助、推广等名义,针对内容创作者进行诈骗。最后,在区块链黑暗森林里行走,要始终保持怀疑的态度,确保你安装的东西是安全的,不让黑客有机可乘。
RGOLD币历史价格走势怎么样?RGOLD币是一种基于区块链技术的数字货币,随着区块链技术的逐渐发展,其受到越来越多的关注和青睐。在过去几年里,RGOLD币的价格也经历了一系列波动,那么,它的历史价格走势怎么样呢?接下来将进行具体介绍。2018年在2018年,RGOLD币的价格比较平稳,最高价在12月份达到了0.0035美元,而最低价则在1月份的0.0009美元。这一年里,RGOLD币虽然没有经历
RAZOR币历史价格走势怎么样?RAZOR币是一个新兴的数字货币,目前在加密市场中备受关注。它是以太坊区块链上的一个协议,旨在为用户提供覆盖交易,预测市场和准确评估市场议价的解决方案。本文将探讨RAZOR币的历史价格走势以及其未来走势展望。RAZOR币历史价格走势RAZOR币于2021年2月正式上市,当时价格为0.11美元。在接下来的两个月里,RAZOR的价格快速上涨,价格达到了6.4美元,这是一
SCOTTY币历史价格走势怎么样?SCOTTY币是一个相对较新的数字货币,其名称来源于《星际迷航》中的著名角色Scotty。SCOTTY币的创造者意在为数字支付打造简单、安全和高效的解决方案。那么,SCOTTY币有怎样的历史价格走势呢?2018年5月,SCOTTY币首次以0.00000009 BTC(比特币)的价格出现在市场中。此后,SCOTTY币价格一直在小幅波动中上涨。到2019年2月,SCO
谁是R2R币的创始人?R2R币是一个较新的数字货币,但由于其创新性和独特性,在加密货币的世界中受到了广泛的关注。然而,许多人并不知道这个数字货币的创始人是谁,本文将向你介绍R2R币的创始人。R2R币的创始人是谁?R2R币的创始人是一位来自英国的42岁的企业家,他的名字是格雷戈里·马达赫斯。他是一个有着多年经验的金融和计算机工程师,同时还是多家公司的创始人和董事长。马达赫斯创造R2R币的动机相比于其
SALT币的创始人是谁?SALT币(SALT)是区块链领域中的一种代币,是个去中心化的平台,可用来借贷加密货币资产。那么SALT币的创始人到底是谁呢?本篇文章将深入挖掘SALT币的创始人信息,为大家做一个详细的介绍。 SALT币的创始人介绍SALT币的创始人是Shawn Owen。在SALT之前,Owen曾是Adepxe的联合创始人和首席信息官,并在该公司负责开发和管理技术部门。Owen还曾是一名
RAINI币的创始人是谁?这是许多人都非常好奇的问题。RAINI币是近年来兴起的一种加密货币,相较于比特币、以太坊等传统的加密货币,RAINI币采用了更加先进、高效且安全的技术,成为了市场上备受关注的数字货币之一。RAINI币的创始人简介RAINI币的创始人叫做李明杰,他是一名资深区块链技术专家。早在2009年,他就开始研究比特币和区块链技术,深刻理解了加密货币在未来的潜力所在。于是,在2017年
ROI币历史价格走势怎么样?ROI币是一种区块链数字货币,其名称源于“投资回报率”(Return on Investment)。ROI的目标是在数字世界中实现投资回报率,该币种采用Quark算法进行挖掘和交易,拥有极高的安全性和隐私性。ROI币于2014年10月正式发布,最初的价格为0.000008美元。随着时间的推移,其价格经历了波动,有时上涨有时下跌,但总体呈上涨趋势。2014-2016年RO
REKT币是一种基于区块链技术的加密货币。自2020年6月份上市以来,市场上一直受到广泛关注。该币种最初的价格在区间波动中呈现出了较高的价格水平。然而,在随后的几个月,REKT币开始面临下跌的趋势。2020年6月:REKT币上市2020年6月,REKT币首次上市。在初期的几周中,这条新货币开始经历了一波上涨。据报告,REKT的价格从最初的0.01美元上涨到每枚价格约为0.05美元。这使许多投资者对
PWAR币最高的时候是多少钱? PWAR币(Proud WarrioR coin,傲者战士币)是一种全新的去中心化加密货币,生态环境构建在以太坊平台上。它通过区块链技术实现了可追溯、不可篡改、独立发行和可自由流通等特点。 PWAR币是多年研究区块链行业的团队打造的,发布后也得到了广大投资者的青睐。那么,PWAR币在市场中最高的时候是多少钱呢?下面,我们将深入探讨。 PWAR币的历史价格 P
REELFI币最高的时候是多少钱?REELFI币是一个新兴的数字货币,它的市场价值一直在快速变化。在过去几年里,REELFI币价格的波动性非常大,有时候价格会飙升,有时候价格会暴跌。这篇文章将探讨REELFI币最高的时候是多少钱。在2017年底,REELFI币价格开始出现了上涨的趋势,并在2018年初达到了历史最高点。REELFI币的最高价格达到了每枚REELFI币12000美元的水平,而且价格的
