慢雾安全团队揭示恶意扩展窃取加密货币资产
2024年3月1日,推特用户@doomxbt反馈其币安账户存在异常,资金疑似被盗。起初,这一事件并未引起广泛关注。然而,到了2024年5月28日,推特用户@TreeofAlpha分析发现,受害者@doomxbt疑似安装了一个Chrome商店中好评如潮的恶意Aggr扩展程序。这个扩展程序能够窃取用户访问的网站上的所有cookies,且两个月前有人付钱给一些有影响力的人来推广它。
静态分析发现恶意代码
慢雾安全团队对恶意扩展进行了静态分析。尽管Google已经下架了该恶意扩展,但通过快照信息,我们可以看到一些历史数据。分析过程中,团队发现background.js和content.js中没有太多复杂的代码,也没有明显的可疑代码逻辑。然而,在background.js中,他们发现了一个站点的链接,并且会将插件获取的数据发送到https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
恶意扩展窃取cookies数据
通过分析manifest.json文件,团队发现background使用了/jquery/jquery-3.6.0.min.js,content使用了/jquery/jquery-3.5.1.min.js。在/jquery/jquery-3.6.0.min.js中,他们发现了可疑的恶意代码,代码将浏览器中的cookies通过JSON处理后发送到了site : https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
攻击时间线与黑客背景
慢雾安全团队分析了回传恶意链接https[:]//aggrtrade-extension[.]com/statistics_collection/index[.].php,发现该域名解析结果显示为典型的俄语区用户,因此推测攻击者可能来自俄罗斯或东欧地区。分析仿冒AGGR (aggr.trade) 的恶意网站aggrtrade-extension[.]com,发现黑客3年前就开始谋划攻击,4个月前部署攻击,并在推特上推广。
安全提醒与防范措施
慢雾安全团队提醒广大用户,浏览器扩展的风险几乎和直接运行可执行文件一样大,所以在安装前一定要仔细审核。同时,小心那些给你发私信的人,现在黑客和骗子都喜欢冒充合法、知名项目,以资助、推广等名义,针对内容创作者进行诈骗。最后,在区块链黑暗森林里行走,要始终保持怀疑的态度,确保你安装的东西是安全的,不让黑客有机可乘。
往期回顾与关注
慢雾安全团队提醒用户关注往期安全事件,如“区块链黑暗森林自救手册”韩文版正式发布、Web3安全入门避坑指南、假钱包与私钥助记词泄露风险等。同时,慢雾科技官网、慢雾区官网、慢雾GitHub、慢雾Telegram、慢雾Twitter、慢雾Medium、知识星球等渠道均可获取更多安全资讯。
Views: 0