Chrome浏览器扩充套件盗币事件深度分析

近日，有一名币安用户的资金疑似被盗，事后有人分析是因为安装了一个 Chrome 商店中的恶意 Aggr 扩展套件程式。对此，慢雾安全团队提醒广大使用者，在安装浏览器扩展套件前一定要仔细稽核。

 

2024 年 3 月 1 日，据推特使用者 @doomxbt 回馈，其币安帐户存在异常情况，资金疑似被盗：

一开始这个事件没有引起太大关注，但在 2024 年 5 月 28 日，推特使用者 @Tree_of_Alpha 分析发现受害者 @doomxbt 疑似安装了一个 Chrome 商店中有很多好评的恶意 Aggr 扩展套件程式！它可以窃取使用者访问的网站上的所有 cookies，并且 2 个月前有人付钱给一些有影响力的人来推广它。

这两天此事件关注度提升，有受害者登入后的凭证被盗取，随后骇客通过对敲盗走受害者的加密货币资产，不少使用者咨询慢雾安全团队这个问题。接下来我们会具体分析该攻击事件，为加密社群敲响警钟。

分析

首先，我们得找到这个恶意扩展套件。虽然已经 Google 已经下架了该恶意扩展套件，但是我们可以通过快照资讯看到一些历史资料。

下载后进行分析，从目录上 JS 档案是 background.js、content.js、jquery-3.6.0.min.js、jquery-3.5.1.min.js。

静态分析过程中，我们发现 background.js 和 content.js 没有太多复杂的程式码，也没有明显的可疑程式码逻辑，但是我们在 background.js 发现一个站点的连结，并且会将外挂获取的资料传送到 https [:]//aggrtrade-extension [.] com/statistics_collection/index [.] php。

通过分析 manifest.json 档案，可以看到 background 使用了 /jquery/jquery-3.6.0.min.js，content 使用了 /jquery/jquery-3.5.1.min.js，于是我们来聚焦分析这两个 jquery 档案：

我们在 jquery/jquery-3.6.0.min.js 中发现了可疑的恶意程式码，程式码将浏览器中的 cookies 通过 JSON 处理后传送到了 site : https [:]//aggrtrade-extension [.] com/statistics_collection/index [.] php。

静态分析后，为了能够更准确地分析恶意扩展套件传送资料的行为，我们开始对扩展套件进行安装和除错。

注意：要在全新的测试环境中进行分析，环境中没有登入任何帐号，并且将恶意的 site 改成自己可控的，避免测试中将敏感资料传送到攻击者的伺服器上。

在测试环境中安装好恶意扩展套件后，开启任意网站，比如 google.com，然后观察恶意扩展套件 background 中的网路请求，发现 Google 的 cookies 资料被发送到了外部伺服器：

我们在 Weblog 服务上也看到了恶意扩展套件传送的 cookies 资料：

至此，如果攻击者拿到使用者认证、凭证等资讯，使用浏览器扩展套件劫持 cookies，就可以在一些交易网站进行对敲攻击，盗窃使用者的加密资产。

我们再分析下回传恶意连结 https [:]//aggrtrade-extension [.] com/statistics_collection/index [.] php。

涉及域名：aggrtrade-extension [.] com

解析上图的域名资讯：

.ru 看起来是典型的俄语区使用者，所以大概率是俄罗斯或东欧骇客团伙。

攻击时间线：

分析仿冒 AGGR (aggr.trade) 的恶意网站 aggrtrade-extension [.] com，发现骇客 3 年前就开始谋划攻击：

4 个月前，骇客部署攻击：

根据 InMist 威胁情报合作网路，我们查到骇客的 IP 位于莫斯科，使用 srvape.com 提供的 VPS ，邮箱是 [email protected]。

部署成功后，骇客便开始在推特上推广，等待鱼儿上钩。后面的故事大家都知道了，一些使用者安装了恶意扩展套件，然后被盗。

下图是 AggrTrade 的官方提醒：

总结

慢雾安全团队提醒广大使用者，浏览器扩展套件的风险几乎和直接执行可执行档案一样大，所以在安装前一定要仔细稽核。同时，小心那些给你发私信的人，现在骇客和骗子都喜欢冒充合法、知名专案，以资助、推广等名义，针对内容创作者进行诈骗。最后，在区块链黑暗森林里行走，要始终保持怀疑的态度，确保你安装的东西是安全的，不让骇客有机可乘。