Background

Em 1º de março de 2024, de acordo com o usuário do Twitter @doomxbt, houve uma situação anormal com seus conta da Binance, com fundos suspeitos de terem sido roubados:

(https://x.com/doomxbt/status/1763237654965920175)

Inicialmente, esse incidente não atraiu muita atenção. No entanto, em 28 de maio de 2024, o usuário do Twitter @Tree_of_Alpha analisou e descobriu que a vítima, @doomxbt, provavelmente instalou uma extensão Aggr maliciosa da Chrome Web Store, que teve muitas críticas positivas (não confirmamos diretamente com a vítima)! Esta extensão pode roubar todos os cookies de sites visitados pelos usuários e, há dois meses, alguém pagou indivíduos influentes para promovê-la.

(https://x.com/Tree_of_Alpha/status/1795403185349099740)

Nos últimos dias, a atenção sobre este incidente aumentou. As credenciais das vítimas que faziam login foram roubadas e, posteriormente, os hackers conseguiram roubar ativos de criptomoedas das vítimas por força bruta. Muitos usuários consultaram a equipe de segurança do SlowMist sobre esse problema. Em seguida, analisaremos esse evento de ataque em detalhes para soar o alarme para a comunidade cripto.

Análise

Em primeiro lugar, precisamos encontrar essa extensão maliciosa. Embora o Google já tenha removido a extensão maliciosa, ainda podemos acessar alguns dados históricos por meio de informações de instantâneo.

Depois de baixar e analisar a extensão, encontramos vários arquivos JS no diretório: background.js, content.js, jquery-3.6.0.min.js e jquery-3.5.1.min.js.

Durante a análise estática, observamos que background.js e content.js não contêm código excessivamente complexo, nem têm qualquer lógica de código suspeita óbvia. No entanto, em background.js, encontramos um link para um site, e o plugin coleta dados e os envia para https[:]//aggrtrade-extension[.] com/statistics_collection/índice[.] Php.

Analisando o arquivo manifest.json, podemos ver que background.js usa /jquery/jquery-3.6.0.min.js, e content.js usa /jquery/jquery-3.5.1.min.js. Vamos nos concentrar em analisar esses dois arquivos jQuery.

Descobrimos código malicioso suspeito no jquery/jquery-3.6.0.min.js. O código processa os cookies do navegador no formato JSON e os envia para o site: https[:]//aggrtrade-extension[.] com/statistics_collection/índice[.] Php.

Após a análise estática, a ordem de analisar com mais precisão o comportamento da extensão maliciosa no envio de dados, começamos instalando e depurando a extensão. (Observação: a análise deve ser conduzida em um ambiente de teste completamente novo, onde nenhuma conta está conectada, e o site mal-intencionado deve ser alterado para um controlado para evitar o envio de dados confidenciais para o servidor do invasor.)

Depois que a extensão maliciosa estiver instalada no ambiente de teste, abra qualquer site, como google.com, e observe as solicitações de rede feitas pela extensão maliciosa em segundo plano. Observamos que os dados de cookies do Google estão sendo enviados para um servidor externo.

Também observamos os dados de cookies enviados pela extensão maliciosa no serviço Weblog.

Neste ponto, se os invasores obtiverem acesso à autenticação do usuário, credenciais, etc., e utilizarem o sequestro de cookies de extensão do navegador, eles podem realizar um ataque de repetição em determinados sites de negociação, roubando os ativos de criptomoedas dos usuários.

Vamos analisar o link malicioso novamente: https[:]//aggrtrade-extension[.] com/statistics_collection/índice[.] Php.

Domínio envolvido: aggrtrade-extension[.] com

Analise as informações de nome de domínio na imagem acima:

.ru indica que é provavelmente um usuário típico da região de língua russa, sugerindo uma alta probabilidade de envolvimento de grupos de hackers russos ou do Leste Europeu.

Linha do tempo do ataque:

Analisando o site malicioso imitando AGGR (aggr.trade), aggrtrade-extension[.] Com isso, descobrimos que hackers começaram a planejar o ataque há três anos.

Há 4 meses, hackers implantaram o ataque:

De acordo com a rede de cooperação de inteligência de ameaças InMist, descobrimos que o IP do hacker está localizado em Moscou, utilizando um VPS fornecido pela srvape.com. Seu e-mail é [email protected].

Após a implantação bem-sucedida, o hacker começou a promover no Twitter, esperando que vítimas desavisadas cair para o armadilha. Quanto ao resto da história, é bem conhecido – alguns usuários instalaram a extensão maliciosa e, posteriormente, foram vítimas de roubo.

A imagem a seguir é o aviso oficial da AggrTrade:

Resumo

A equipe de segurança do SlowMist avisa a todos os usuários que o risco de extensões de navegador é quase tão significativo quanto executar arquivos executáveis diretamente. Portanto, é crucial revisar cuidadosamente antes de instalar. Além disso, tenha cuidado com aqueles que lhe enviam mensagens privadas. Hoje em dia, hackers e golpistas muitas vezes se passam por projetos legítimos e conhecidos, alegando oferecer oportunidades de patrocínio ou promoção, visando criadores de conteúdo para golpes. Por fim, ao navegar pela floresta escura do blockchain, mantenha sempre uma atitude cética para garantir que o que você instala seja seguro e não suscetível à exploração por hackers.

Declaração:

1. Este artigo é reproduzido de [ 慢雾科技], o título original é "Wolf in Sheep's Clothing | Fake Chrome Extension Theft Analysis", os direitos autorais pertencem ao autor original [Mountain&Thinking@Slow Mist Security Team], se você tiver alguma objeção à reimpressão, entre em contato com Gate Learn Team, a equipe irá lidar com isso o mais rápido possível de acordo com os procedimentos pertinentes.

2. Disclaimer: Os pontos de vista e opiniões expressos neste artigo representam apenas os pontos de vista pessoais do autor e não constituem qualquer conselho de investimento.

3. Outras versões linguísticas do artigo são traduzidas pela equipe do Gate Learn, não mencionadas em Gate.io, o artigo traduzido não pode ser reproduzido, distribuído ou plagiado.