Background

في 1 مارس 2024، وفقا لمستخدم تويتر @doomxbt، كان هناك موقف غير طبيعي مع الحساب Binance الخاص بهم، حيث يشتبه في سرقة الأموال:

(https://x.com/doomxbt/status/1763237654965920175)

في البداية ، لم يجذب هذا الحادث الكثير من الاهتمام. ومع ذلك ، في 28 مايو 2024 ، قام مستخدم Twitter @Tree_of_ألفا بالتحليل ووجد أن الضحية، @doomxbt، من المحتمل أن يكون قد قام بتثبيت امتداد Aggr ضار من سوق Chrome الإلكتروني، والذي كان له العديد من المراجعات الإيجابية (لم نؤكد مباشرة مع الضحية)! يمكن لهذا الامتداد سرقة جميع ملفات تعريف الارتباط من مواقع الويب التي يزورها المستخدمون ، وقبل شهرين ، دفع شخص ما للأفراد المؤثرين للترويج لها.

(https://x.com/Tree_of_Alpha/status/1795403185349099740)

في الأيام القليلة الماضية ، زاد الاهتمام بهذا الحادث. سرقت أوراق اعتماد الضحايا الذين قاموا بتسجيل الدخول ، وبعد ذلك ، تمكن المتسللون من سرقة أصول العملة المشفرة من الضحايا عن طريق القوة الغاشمة. استشار العديد من المستخدمين فريق أمان SlowMist بخصوص هذه المشكلة. بعد ذلك ، سنقوم بتحليل حدث الهجوم هذا بالتفصيل لدق ناقوس الخطر لمجتمع التشفير.

Analysis

أولا ، نحتاج إلى العثور على هذا الامتداد الضار. على الرغم من أن Google قد أزالت بالفعل الإضافة الضارة ، إلا أنه لا يزال بإمكاننا الوصول إلى بعض البيانات السابقة من خلال معلومات اللقطة.

بعد تنزيل الامتداد وتحليله، وجدنا العديد من ملفات JS في الدليل: background.js و content.js و jquery-3.6.0.min.js و jquery-3.5.1.min.js.

أثناء التحليل الثابت ، لاحظنا أن background.js و content.js لا تحتوي على تعليمات برمجية معقدة للغاية ، ولا تحتوي على أي منطق كود مشبوه واضح. ومع ذلك ، في background.js ، وجدنا رابطا إلى موقع ويب ، ويقوم المكون الإضافي بجمع البيانات وإرسالها إلى https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.

من خلال تحليل ملف manifest.json ، يمكننا أن نرى أن background.js يستخدم / jquery / jquery-3.6.0.min.js ، ويستخدم content.js / jquery / jquery-3.5.1.min.js. دعونا نركز على تحليل هذين الملفين jQuery.

لقد اكتشفنا تعليمات برمجية ضارة مشبوهة في jquery / jquery-3.6.0.min.js. يعالج الرمز ملفات تعريف الارتباط للمتصفح بتنسيق JSON ويرسلها إلى الموقع: https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.

بعد التحليل الثابت ، طلب تحليل سلوك الامتداد الضار بشكل أكثر دقة في إرسال البيانات ، نبدأ بتثبيت الامتداد وتصحيحه. (ملاحظة: يجب إجراء التحليل في بيئة اختبار جديدة تماما حيث لا يتم تسجيل الدخول إلى أي حسابات ، ويجب تغيير الموقع الضار إلى موقع خاضع للرقابة لتجنب إرسال بيانات حساسة إلى خادم المهاجم.)

بمجرد تثبيت الملحق الضار في بيئة الاختبار ، افتح أي موقع ويب ، مثل google.com ، ولاحظ طلبات الشبكة التي قدمتها الإضافة الضارة في الخلفية. لاحظنا أن بيانات ملفات تعريف الارتباط من Google يتم إرسالها إلى خادم خارجي.

لاحظنا أيضا بيانات ملفات تعريف الارتباط المرسلة بواسطة الامتداد الضار على خدمة Weblog.

في هذه المرحلة ، إذا تمكن المهاجمون من الوصول إلى مصادقة المستخدم وبيانات الاعتماد وما إلى ذلك ، واستخدموا اختطاف ملفات تعريف الارتباط لامتداد المتصفح ، فيمكنهم إجراء هجوم إعادة التشغيل على مواقع تداول معينة ، وسرقة أصول العملة المشفرة للمستخدمين.

دعنا نحلل الرابط الضار مرة أخرى: https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.

المجال المعني: aggrtrade-extension[.] كوم

تحليل معلومات اسم المجال في الصورة أعلاه:

يشير .ru إلى أنه من المحتمل أن يكون مستخدما نموذجيا من المنطقة الناطقة بالروسية ، مما يشير إلى احتمال كبير لمشاركة مجموعات القراصنة الروسية أو أوروبا الشرقية.

الجدول الزمني للهجوم:

تحليل موقع الويب الضار الذي يحاكي AGGR (aggr.trade) ، aggrtrade-extension[.] com ، اكتشفنا أن المتسللين بدأوا التخطيط للهجوم قبل ثلاث سنوات.

قبل 4 أشهر ، نشر المتسللون الهجوم:

وفقا لشبكة InMist للتعاون في مجال استخبارات التهديدات ، وجدنا أن عنوان IP الخاص بالمتسلل يقع في موسكو ، باستخدام VPS المقدم من srvape.com. بريدهم الإلكتروني هو aggrdev@gmail.com.

بعد النشر بنجاح ، بدأ المتسلل في الترويج على Twitter ، في انتظار هبوط الضحايا المطمئنين إلى فخ. أما بالنسبة لبقية القصة ، فهي معروفة جيدا - قام بعض المستخدمين بتثبيت الامتداد الضار ووقعوا بعد ذلك ضحية للسرقة.

الصورة التالية هي تحذير AggrTrade الرسمي:

Summary

ينصح فريق أمان SlowMist جميع المستخدمين بأن خطر ملحقات المتصفح لا يقل أهمية عن تشغيل الملفات القابلة للتنفيذ مباشرة. لذلك ، من الضروري المراجعة بعناية قبل التثبيت. أيضا ، كن حذرا من أولئك الذين يرسلون لك رسائل خاصة. في الوقت الحاضر ، غالبا ما ينتحل المتسللون والمحتالون شخصيات مشاريع مشروعة ومعروفة ، مدعين أنهم يقدمون فرص رعاية أو ترويج ، ويستهدفون منشئي المحتوى لعمليات الاحتيال. أخيرا ، عند التنقل في غابة blockchain المظلمة ، حافظ دائما على موقف متشكك للتأكد من أن ما تقوم بتثبيته آمن وغير عرضة للاستغلال من قبل المتسللين.

Statement:

1. هذه المقالة مستنسخة من [ 慢雾科技] ، العنوان الأصلي هو "الذئب في ملابس الأغنام | تحليل سرقة امتداد Chrome المزيف" ، تنتمي حقوق الطبع والنشر إلى المؤلف الأصلي [Mountain&Thinking@Slow Mist Security Team] ، إذا كان لديك أي اعتراض على إعادة الطباعة ، فيرجى الاتصال ب Gate Learn Team، سيقوم الفريق بالتعامل معها في أقرب وقت ممكن وفقا للإجراءات ذات الصلة.

2. إخلاء المسؤولية: الآراء ووجهات النظر الواردة في هذه المقالة تمثل فقط وجهات نظر المؤلف الشخصية ولا تشكل أي نصيحة استثمارية.

3. تتم ترجمة إصدارات اللغات الأخرى من المقالة من قبل فريق Gate Learn ، ولم يتم ذكرها في Gate.io ، لا يجوز إعادة إنتاج المقالة المترجمة أو توزيعها أو سرقتها.