深度分析：使用恶意插件后币安账户为何被盗？

签名：@SlowMist_Team

来源https://web3caff.com/zh/archives/94779

https://foresightnews.pro/article/detail/61654

2024年3月1日，据推特用户@doomxbt称，他的币安账户出现异常情况，资金疑似被盗。起初，这一事件并没有引起太多关注。然而，在2024年5月28日，推特用户@Tree_of_Alpha分析发现，受害者@doomxbt可能从Chrome商店安装了恶意的Aggr扩展，获得了许多好评！这个扩展可以从用户访问的网站上窃取所有cookie，两个月前，有人付钱给有影响力的人来推广它。

2024年6月3日，悲剧再次上演。推特用户@CryptoNakamao发布了因下载恶意Chrome扩展Aggr而损失100万美元的消息。

在这篇文章中，我们将通过六问六答的形式详细分析假冒Aggr扩展的恶意活动，并解释其基本知识和潜在风险。我们还将就如何应对扩展风险提供建议，希望帮助个人用户和交易平台增强保护账户和资产安全的能力。

分析

首先，我们需要找到这个恶意扩展。尽管谷歌已经删除了恶意扩展，但我们仍然可以通过快照查看一些历史数据。

下载并分析扩展后，我们确定目录中的主要JavaScript文件为background.js、content.js、jquery-3.6.0.min.js和jquery-3.5.1.min.js。

在静态分析过程中，我们发现background.js和content.js没有包含太多复杂的代码或任何明显的可疑逻辑。然而，我们在background.js中发现了一个站点链接，它将扩展收集的数据发送到https://aggrtrade extension[.]com/statistics_collection/index[.]php。

通过分析manifest.json文件，我们发现后台使用/jquery/jquery-3.6.0.min.js，内容使用/jquery/jquery-35.1.min.js。因此，我们将分析重点放在这两个jquery文件上：

在jquery/jquery-3.6.0.min.js中，我们发现了通过JSON处理浏览器cookie的可疑恶意代码，并将其发送到网站：https://aggrtrade extension[.]com/statistics_collection/index[.]php。

经过静态分析，为了更准确地分析恶意扩展的行为，我们安装并调试了该扩展。（注意：这应该在没有任何登录帐户的全新测试环境中进行，并且应该将恶意网站更改为受控网站，以避免将敏感数据发送到攻击者的服务器。）

在测试环境中安装恶意扩展后，我们打开任何网站，如google.com，并观察来自恶意扩展后台的网络请求。我们发现谷歌的cookie数据被发送到了一个外部服务器：

我们还看到恶意扩展在Weblog服务上发送cookie数据：

此时，如果攻击者获得用户身份验证凭据和其他信息，他们可以使用浏览器扩展劫持cookie，并对各种交易网站进行反交易攻击，窃取用户的加密资产。

接下来，我们分析了恶意链接https://aggrtrade extension[.]com/statistics_collection/index[.]php。

涉及域名：aggretrade extension[.]com

解析上图中的域名信息：

.ru域表明，它很可能针对讲俄语的用户，因此它很可能是一个俄罗斯或东欧黑客组织。

攻击时间线：

对假冒AGGR（AGGR.trade）恶意网站aggrtrade extension[.]com的分析显示，黑客三年前就开始策划攻击：

四个月前，黑客部署了这次攻击：

根据InMist威胁情报协作网络，黑客的IP位于莫斯科，使用srvape.com提供的VPS，电子邮件地址为[电子邮件保护]。

成功部署后，黑客开始在推特上进行宣传，等待受害者上钩。故事的其余部分是众所周知的：一些用户安装了恶意扩展并遭到抢劫。

以下是阿格贸易的官方警告：

问答

什么是Chrome扩展？

Chrome扩展是为谷歌Chrome浏览器设计的插件，可以扩展浏览器的功能和行为。他们可以自定义用户的浏览体验，添加新功能或内容，或与网站互动。Chrome扩展通常使用HTML、CSS、JavaScript和其他web技术构建。

Chrome扩展的结构通常包括以下部分：

● manifest.json：扩展的配置文件，定义名称、版本和权限等基本信息。

● 后台脚本：在浏览器的后台运行，处理事件和长期任务。

● 内容脚本：在网页的上下文中运行，直接与网页交互。

● 用户界面（UI）：包括浏览器工具栏按钮、弹出窗口、选项页等。

Chrome扩展的功能是什么？

● 广告拦截：扩展可以拦截和阻止网页上的广告，提高页面加载速度和用户体验。示例包括AdBlock和uBlock Origin。

● 隐私和安全：一些扩展可以增强用户的隐私和安全，例如防止跟踪、加密通信、管理密码等。例如Privacy Badger和LastPass。

● 生产力工具：扩展可以帮助用户提高生产力，例如管理任务、记笔记、跟踪时间等。例如Todoist和Evernote Web Clipper。

● 开发者工具：为网络开发者提供调试和开发工具，如查看网页结构、调试代码、分析网络请求等。示例包括React Developer Tools和Postman。

● 社交媒体和通信：扩展可以集成社交媒体和通讯工具，允许用户在浏览时处理社交媒体通知和消息。例如Grammarly和Facebook Messenger。

● Web自定义：用户可以通过扩展来自定义网页的外观和行为，例如更改主题、重新排列页面元素、添加附加功能等。示例包括Stylish和Tampermonkey。

● 自动化任务：扩展可以帮助用户自动化重复任务，如自动填写表格、批量下载文件等。示例包括iMacros和DownThemAll。

● 语言翻译：一些扩展可以实时翻译网页内容，帮助用户理解不同语言的网页，如谷歌翻译。

● 加密货币援助：扩展可以帮助用户进行加密货币交易，如MetaMask。

Chrome扩展的灵活性和多样性使其几乎可以应用于任何浏览场景，帮助用户更高效地完成各种任务。

安装后Chrome扩展有哪些权限？

安装后，Chrome扩展可能会请求一系列权限来执行特定功能。这些权限在扩展名的manifest.json文件中声明，并在安装过程中提示用户进行确认。常见权限包括：

● <all_urls>：允许扩展访问所有网站上的内容。这是一个广泛的权限，允许扩展读取和修改所有网站上的数据。

● 选项卡：允许扩展访问浏览器选项卡信息，包括获取当前打开的选项卡、创建和关闭选项卡等。

● activeTab：允许扩展临时访问当前活动的选项卡，通常在用户单击扩展按钮时执行特定操作。

● 存储：允许扩展使用Chrome的存储API来存储和检索数据。这可用于保存扩展设置、用户数据等。

● cookie：允许扩展访问和修改浏览器cookie。

● webRequest和webRequestBlocking：允许扩展拦截和修改网络请求。这些权限通常用于广告屏蔽和隐私保护扩展。

● bookmarks:允许扩展访问和修改浏览器书签。

● history：允许扩展访问和修改浏览器历史记录。

● notifications：允许扩展显示桌面通知。

● contextMenu：允许扩展将自定义菜单项添加到浏览器的上下文菜单（右键单击菜单）。

● 地理位置：允许扩展访问用户的地理位置信息。

● clipboardRead和clipboardWrite：允许扩展读取和写入剪贴板内容。

● downloads：允许扩展管理下载，包括启动、暂停和取消下载。

● 管理：允许扩展管理浏览器中的其他扩展和应用程序。

● background：允许扩展在后台运行长期任务。

● notifications：允许扩展显示系统通知。

● webNavigation：允许扩展监视和修改浏览器导航行为。

这些权限使Chrome扩展能够执行许多强大而多样的功能，但也意味着它们可能会访问敏感的用户数据，如cookie和身份验证信息。

为什么恶意Chrome扩展可以窃取用户权限？

恶意的Chrome扩展可以窃取用户权限和身份验证信息，因为这些扩展可以直接访问和操纵用户的浏览器环境和数据。具体原因和方法包括：

● 广泛的权限访问：恶意扩展通常请求大量的权限，如访问所有网站（＜all_urls＞）、读取和修改浏览器选项卡（选项卡）、访问浏览器存储（存储）等。这些权限允许恶意扩展广泛访问用户的浏览活动和数据。

● 操纵网络请求：恶意扩展可以使用webRequest和webRequestBlocking权限拦截和修改网络请求，从而窃取用户的身份验证信息和敏感数据。例如，当用户登录网站以获取用户名和密码时，他们可以拦截表单数据。

● 阅读和编写页面内容：通过内容脚本，恶意扩展可以将代码嵌入网页，读取和修改页面内容。这意味着他们可以窃取用户在网页上输入的任何数据，如表单信息、搜索查询等。

● 访问浏览器存储：恶意扩展可以使用存储权限访问和存储本地用户数据，包括可能包含敏感信息的浏览器存储（如LocalStorage和IndexedDB）。

● 操作剪贴板内容：通过clipboardRead和clipboardWrite权限，恶意扩展可以读取和写入用户的剪贴板内容，从而窃取或篡改用户复制粘贴的信息。

● 伪装成合法网站：恶意扩展可以修改浏览器内容或将用户重定向到虚假网站，诱使用户输入敏感信息。

● 长期后台运行：具有后台权限的恶意扩展可以在后台长时间运行，即使用户没有积极使用它们。这使他们能够监控用户活动，并随着时间的推移收集大量数据。

● 操纵下载：使用下载权限，恶意扩展可以下载和执行恶意文件，进一步损害用户的系统安全。

为什么这种恶意扩展的受害者的权限和资金被窃取？

因为这个恶意的Aggr扩展碰巧获得了上面提到的权限。以下是此恶意插件的manifest.json文件中权限内容的片段：

● Cookie

● 选项卡

● <all_urls>

● 存储

恶意Chrome扩展在窃取用户cookie后可以采取哪些操作？

● 访问账户：恶意扩展可以使用被盗的cookie模拟用户登录交易平台账户，从而访问用户账户信息，包括余额、交易历史记录等。

● 进行交易：被盗的cookie可能允许恶意扩展在未经用户同意的情况下进行交易，买卖加密货币，甚至将资产转移到其他账户。

● 提取资金：如果cookie包含会话信息和身份验证令牌，恶意扩展可能会绕过双因素身份验证（2FA），直接启动资金提取，将用户的加密货币转移到攻击者的钱包。

● 访问敏感信息：恶意扩展可以访问和收集用户交易平台账户中的敏感信息，如身份验证文件、地址等，这些信息可能被用于进一步的身份盗窃或欺诈活动。

● 修改帐户设置：恶意扩展可以更改用户帐户设置，如链接的电子邮件地址、电话号码等，从而进一步控制帐户并窃取更多信息。

● 冒充用户进行社会工程攻击：使用用户帐户进行社会工程袭击，例如向用户的联系人发送诈骗信息，诱使他们执行不安全的操作或提供更敏感的信息。

对策

看到这里，用户可能会想，我们该怎么办，断开与互联网的连接？使用单独的计算机进行交易？避免通过网络登录平台？网上出现了许多笼统的说法，但我们实际上可以学习如何合理预防此类风险：

针对个人用户的对策：

● 增强个人安全意识：第一个预防建议是提高个人安全意识，并始终保持怀疑态度。

● 仅安装来自可信来源的扩展：从Chrome Web Store或其他可信来源安装扩展，阅读用户评论和权限请求，尽量不授予扩展不必要的访问权限。

● 使用安全的浏览环境：避免安装来自未知来源的扩展，定期审查和删除不必要的扩展，安装不同的浏览器，并将插件浏览器与事务浏览器隔离。

● 定期检查账户活动：定期检查账户登录活动和交易记录，发现可疑行为立即采取行动。

● 记得注销：使用基于web的平台后，记得注销。许多人在平台上完成操作后，为了方便而离开登录，但这种习惯会带来安全风险。

● 使用硬件钱包：对于大型资产，使用硬件钱包进行存储以提高安全性。

● 浏览器设置和安全工具：使用安全的浏览器设置和扩展（如广告拦截程序和隐私保护工具）来降低恶意扩展的风险。

● 使用安全软件：安装并使用安全软件来检测和防止恶意扩展和其他恶意软件活动。

平台建议

最后，这里有一些针对平台的风险控制建议。通过实施这些措施，交易平台可以降低恶意Chrome扩展对用户构成的安全风险：

● 强制双因素身份验证（2FA）：

○ 全局启用2FA：要求所有用户在登录和执行重要操作（如交易、下单和提取资金）时启用双因素身份验证（2FA），以确保即使用户的cookie被盗，攻击者也无法轻松访问帐户。

○ 支持多种验证方法：支持各种双因素验证方法，如短信、电子邮件、谷歌验证器和硬件令牌。

● 会话管理和安全性：

○ 设备管理：为用户提供查看和管理已登录设备的能力，允许用户随时注销未知设备会话。

○ 会话超时：实现会话超时策略，自动注销长时间处于非活动状态的会话，降低会话劫持的风险。

○ IP地址和地理位置监控：检测并提醒用户从异常IP地址或地理位置登录，必要时阻止这些登录。

● 加强帐户安全设置：

○ 安全通知：通过电子邮件或短信立即通知用户重要的帐户操作，如登录、密码更改和资金提取，提醒用户注意可疑活动。

○ 账户冻结功能：为用户提供在紧急情况下快速冻结账户的选项，以限制损失。

● 加强监控和风险控制系统：

○ 异常检测：利用机器学习和大数据分析来监测用户行为，识别异常交易模式和账户活动，并及时干预风险控制。

○ 风险控制警报：针对账户信息频繁更改和多次登录失败等可疑行为发出警报和限制。

● 为用户提供安全教育和工具：

○ 安全教育：使用官方社交账户、电子邮件、平台通知和其他渠道教育用户与浏览器扩展相关的安全风险以及如何保护他们的账户。

○ 安全工具：提供官方浏览器插件或扩展，帮助用户增强帐户安全，检测并提醒用户潜在的安全威胁。

结论

坦率地说，从技术角度来看，实施上述所有风险控制措施可能并不总是最好的方法。安全和业务需要平衡。如果安全措施过于严格，用户体验可能会受到影响。例如，下单时需要双因素身份验证（2FA）可能会提示用户为了方便而禁用它，无意中使黑客更容易使用它。一旦cookie被盗，如果资金无法提取，黑客可能会进行反交易攻击，导致用户损失资产。因此，不同的平台和用户应该采取不同的风险控制方法。在安全性和业务需求之间找到平衡对于每个平台来说都是不同的。希望平台能够在考虑用户体验的同时保护用户帐户和资产。

SlowMist安全团队建议用户在安装软件、尝试新代币或添加插件之前思考三秒。问问自己这是否正确和安全，然后继续。这有助于避免将故事变成意外。欲了解更多安全知识，请考虑阅读SlowMist的《区块链黑暗森林自卫手册》。

关注我们推特：https://twitter.com/WuBlockchain电报https://t.me/wublockchainenglish