披着羊皮的狼：虚假Chrome扩展盗窃分析

作者：山&Thinking

背景

2024 年 3 月 1 日，据推特用户 @doomxbt 反馈，其币安账户存在异常情况，资金疑似被盗：

(https://x.com/doomxbt/status/1763237654965920175)

一开始这个事件没有引起太大关注，但在 2024 年 5 月 28 日，推特用户 @Tree_of_Alpha 分析发现受害者 @doomxbt 疑似安装了一个 Chrome 商店中有很多好评的恶意 Aggr 扩展程序！它可以窃取用户访问的网站上的所有 cookies，并且 2 个月前有人付钱给一些有影响力的人来推广它。

(https://x.com/Tree_of_Alpha/status/1795403185349099740)

这两天此事件关注度提升，有受害者登录后的凭证被盗取，随后黑客通过对敲盗走受害者的加密货币资产，不少用户咨询慢雾安全团队这个问题。接下来我们会具体分析该攻击事件，为加密社区敲响警钟。

分析

首先，我们得找到这个恶意扩展。虽然已经 Google 已经下架了该恶意扩展，但是我们可以通过快照信息看到一些历史数据。

下载后进行分析，从目录上 JS 文件是 background.js，content.js，jquery-3.6.0.min.js，jquery-3.5.1.min.js。

静态分析过程中，我们发现 background.js 和 content.js 没有太多复杂的代码，也没有明显的可疑代码逻辑，但是我们在 background.js 发现一个站点的链接，并且会将插件获取的数据发送到 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。

通过分析 manifest.json 文件，可以看到 background 使用了 /jquery/jquery-3.6.0.min.js，content 使用了 /jquery/jquery-3.5.1.min.js，于是我们来聚焦分析这两个 jquery 文件：

我们在 jquery/jquery-3.6.0.min.js 中发现了可疑的恶意代码，代码将浏览器中的 cookies 通过 JSON 处理后发送到了 site : https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。

静态分析后，为了能够更准确地分析恶意扩展发送数据的行为，我们开始对扩展进行安装和调试。（注意：要在全新的测试环境中进行分析，环境中没有登录任何账号，并且将恶意的 site 改成自己可控的，避免测试中将敏感数据发送到攻击者的服务器上）

在测试环境中安装好恶意扩展后，打开任意网站，比如 google.com，然后观察恶意扩展 background 中的网络请求，发现 Google 的 cookies 数据被发送到了外部服务器：

我们在 Weblog 服务上也看到了恶意扩展发送的 cookies 数据：

至此，如果攻击者拿到用户认证、凭证等信息，使用浏览器扩展劫持 cookies，就可以在一些交易网站进行对敲攻击，盗窃用户的加密资产。

我们再分析下回传恶意链接 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。

涉及域名：aggrtrade-extension[.]com

解析上图的域名信息：

.ru 看起来是典型的俄语区用户，所以大概率是俄罗斯或东欧黑客团伙。

攻击时间线：

分析仿冒 AGGR (aggr.trade) 的恶意网站 aggrtrade-extension[.]com，发现黑客 3 年前就开始谋划攻击：

4 个月前，黑客部署攻击：

根据 InMist 威胁情报合作网络，我们查到黑客的 IP 位于莫斯科，使用 srvape.com 提供的 VPS ，邮箱是 [email protected]。

部署成功后，黑客便开始在推特上推广，等待鱼儿上钩。后面的故事大家都知道了，一些用户安装了恶意扩展，然后被盗。

下图是 AggrTrade 的官方提醒：

总结

慢雾安全团队提醒广大用户，浏览器扩展的风险几乎和直接运行可执行文件一样大，所以在安装前一定要仔细审核。同时，小心那些给你发私信的人，现在黑客和骗子都喜欢冒充合法、知名项目，以资助、推广等名义，针对内容创作者进行诈骗。最后，在区块链黑暗森林里行走，要始终保持怀疑的态度，确保你安装的东西是安全的，不让黑客有机可乘。