作者:山&Thinking@慢雾安全团队
2024 年 3 月 1 日,据推特用户 @doomxbt 反馈,其币安账户存在异常情况,资金疑似被盗:
(https://x.com/doomxbt/status/1763237654965920175)
一开始这个事件没有引起太大关注,但在 2024 年 5 月 28 日,推特用户 @Tree_of_Alpha 分析发现受害者 @doomxbt 疑似安装了一个 Chrome 商店中有很多好评的恶意 Aggr 扩展程序!它可以窃取用户访问的网站上的所有 cookies,并且 2 个月前有人付钱给一些有影响力的人来推广它。
(https://x.com/Tree_of_Alpha/status/1795403185349099740)
这两天此事件关注度提升,有受害者登录后的凭证被盗取,随后黑客通过对敲盗走受害者的加密货币资产,不少用户咨询慢雾安全团队这个问题。接下来我们会具体分析该攻击事件,为加密社区敲响警钟。
首先,我们得找到这个恶意扩展。虽然已经 Google 已经下架了该恶意扩展,但是我们可以通过快照信息看到一些历史数据。
下载后进行分析,从目录上 JS 文件是 background.js,content.js,jquery-3.6.0.min.js,jquery-3.5.1.min.js。
静态分析过程中,我们发现 background.js 和 content.js 没有太多复杂的代码,也没有明显的可疑代码逻辑,但是我们在 background.js 发现一个站点的链接,并且会将插件获取的数据发送到https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
通过分析 manifest.json 文件,可以看到 background 使用了 /jquery/jquery-3.6.0.min.js,content 使用了 /jquery/jquery-3.5.1.min.js,于是我们来聚焦分析这两个 jquery 文件:
我们在jquery/jquery-3.6.0.min.js 中发现了可疑的恶意代码,代码将浏览器中的 cookies 通过 JSON 处理后发送到了 site :https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
静态分析后,为了能够更准确地分析恶意扩展发送数据的行为,我们开始对扩展进行安装和调试。(注意:要在全新的测试环境中进行分析,环境中没有登录任何账号,并且将恶意的 site 改成自己可控的,避免测试中将敏感数据发送到攻击者的服务器上)
在测试环境中安装好恶意扩展后,打开任意网站,比如 google.com,然后观察恶意扩展 background 中的网络请求,发现 Google 的 cookies 数据被发送到了外部服务器:
我们在 Weblog 服务上也看到了恶意扩展发送的 cookies 数据:
至此,如果攻击者拿到用户认证、凭证等信息,使用浏览器扩展劫持 cookies,就可以在一些交易网站进行对敲攻击,盗窃用户的加密资产。
我们再分析下回传恶意链接https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
涉及域名:aggrtrade-extension[.]com
解析上图的域名信息:
.ru 看起来是典型的俄语区用户,所以大概率是俄罗斯或东欧黑客团伙。
攻击时间线:
分析仿冒AGGR (aggr.trade)的恶意网站 aggrtrade-extension[.]com,发现黑客 3 年前就开始谋划攻击:
4 个月前,黑客部署攻击:
根据 InMist 威胁情报合作网络,我们查到黑客的 IP 位于莫斯科,使用 srvape.com 提供的 VPS ,邮箱是aggrdev@gmail.com。
部署成功后,黑客便开始在推特上推广,等待鱼儿上钩。后面的故事大家都知道了,一些用户安装了恶意扩展,然后被盗。
下图是 AggrTrade 的官方提醒:
慢雾安全团队提醒广大用户,浏览器扩展的风险几乎和直接运行可执行文件一样大,所以在安装前一定要仔细审核。同时,小心那些给你发私信的人,现在黑客和骗子都喜欢冒充合法、知名项目,以资助、推广等名义,针对内容创作者进行诈骗。最后,在区块链黑暗森林里行走,要始终保持怀疑的态度,确保你安装的东西是安全的,不让黑客有机可乘。
SSV币如何保证数据安全和隐私?随着加密货币的崛起,数据安全和隐私一直是用户关注的重要问题。SSV币(Secure and Scalable Value Coin)作为一种新型的去中心化数字货币,拥有一些独特的特性,使其能够有效保护用户的数据安全和隐私。首先,SSV币采用了先进的加密算法,确保交易数据和用户信息在传输和存储过程中得到加密保护。这种加密算法是经过严格测试和审查的,具有非常高的安全性和
投资DATA币的风险和潜在回报是怎样的?投资DATA币是一项具有潜在风险和回报的行为。在决定是否投资DATA币之前,必须充分了解这些风险和潜在回报,以做出明智的决策。风险1. 市场波动性:加密货币市场是一个高度波动的市场,其价格可以在短时间内剧烈波动。DATA币也不例外。投资者应该认识到市场波动性可能会导致投资损失。2. 监管风险:政府和监管机构对加密货币的监管一直在不断变化。新的法规和政策可能会
SSV币对整个加密生态系统的贡献是什么?加密生态系统是一个包括了密码学技术、区块链和数字货币等多个组成部分的复杂系统。SSV币作为其中的一种数字货币,为整个加密生态系统带来了如下的贡献。1. 安全性SSV币的基础是区块链技术,采用了密码学算法保证了交易和账户的安全性。区块链技术的分布式账本和加密算法的保护,使得SSV币成为了一种非常安全的数字货币。通过SSV币的使用,用户可以放心地进行交易和存储财
DYDX币对整个加密生态系统的贡献是什么?加密货币市场正在以惊人的速度发展,并且对整个金融行业产生了不可忽视的影响。DYDX币作为一种去中心化交易平台的代币,为加密生态系统带来了许多重要的贡献。本文将讨论DYDX币在加密生态系统中的重要性和其所带来的贡献。1. 去中心化交易DYDX币的最重要的贡献之一是作为去中心化交易平台的代币。去中心化交易是加密货币空间的重要创新之一,它不依赖传统的中心化交易所
XCH币在整个区块链生态系统中的角色是什么?随着区块链技术的发展和普及,数字货币作为一种金融和经济交易的工具变得越来越重要。而XCH币作为一个重要的数字货币,发挥着多个角色,不仅在整个区块链生态系统中发挥着核心作用,同时也在经济和社会层面产生了重要的影响。首先,在区块链生态系统中,XCH币作为一种加密货币具有支付和交易的功能。通过区块链技术,XCH币可以进行快速和安全的交易,而且交易的过程是透明和
TRB币在全球加密法规中的地位如何?近年来,随着加密货币市场的迅速发展,全球各个国家纷纷开始制定和修改相应的加密法规,以规范和管理这一新兴的数字资产。TRB币作为一种新的加密货币,也被纳入了众多国家的监管范畴中,其地位在全球加密法规中逐渐显现。首先,TRB币在全球加密法规中的地位可以说是受到一定的重视和关注。由于TRB币以其去中心化、通证经济等先进特性,成为了加密货币市场中备受瞩目的代表之一,吸引
ASTR币的目标用户群体和社区特点ASTR币(Astronomy Coin)是一种基于区块链技术的加密货币,旨在为天文学领域的爱好者和专业人士提供一个独特的数字货币平台。ASTR币的目标用户群体主要包括以下几类人群:1. 天文学爱好者ASTR币的目标用户群体首先是对天文学感兴趣的爱好者。这些人群可能是天文爱好者的业余爱好者,也可能是专业的天文学研究人员。他们对宇宙的奥秘和天文学的发展充满好奇,并希
SHIB币如何解决加密市场现存的问题?加密市场是一个充满机遇和挑战的领域。在这个新兴的领域中,投资者面临着很多问题,包括欺诈、安全性、流动性和价值等方面的问题。然而,SHIB币作为一种潜在的解决方案,为加密市场带来了一种新的希望。首先,SHIB币通过区块链技术提供了更高的安全性。区块链技术具有去中心化、不可篡改和透明的特点,消除了传统金融体系中的中心化风险。这意味着SHIB币交易是基于算法和协议,
什么是Sats币?Sats币是比特币的最小单位,也被称为Satoshi。比特币是一种完全基于互联网的数字货币,旨在改变传统货币体系并提供更安全、快捷、低成本的交易方式。Satoshi是比特币的命名来源,作为白皮书的作者,中本聪(Satoshi Nakamoto)被认为是比特币的创造者。为了纪念他的贡献,比特币的最小单位被命名为Satoshi。一个比特币可以分为100,000,000个Satoshi
如何追踪Sats的市场价值和波动?Sats是一种加密货币,也被称为Bitcoin的最小单位。追踪Sats的市场价值和波动对于加密货币投资者非常重要。本文将介绍几种常用的方法来追踪Sats的市场价值和波动。1. 使用交易所平台大多数加密货币交易所平台都提供Sats交易对的实时市场数据。通过在交易所平台上注册账户,您可以访问Sats的市场价值和波动数据。这些数据通常以图表的形式展示,您可以查看价格走势
