Contexte

Le 1er mars 2024, selon l’utilisateur de Twitter @doomxbt, il y avait une situation anormale avec leur compte Binance, avec des fonds soupçonnés d’avoir été volés :

(https://x.com/doomxbt/status/1763237654965920175)

Au départ, cet incident n’a pas attiré beaucoup d’attention. Cependant, le 28 mai 2024, l’utilisateur de Twitter @Tree_of_Alpha a analysé et constaté que la victime, @doomxbt, a probablement installé une extension Aggr malveillante depuis le Chrome Web Store, qui a eu de nombreuses critiques positives (nous n’avons pas directement confirmé avec la victime) ! Cette extension peut voler tous les cookies des sites Web visités par les utilisateurs, et il y a deux mois, quelqu’un a payé des personnes influentes pour en faire la promotion.

(https://x.com/Tree_of_Alpha/status/1795403185349099740)

Au cours des derniers jours, l’attention portée à cet incident s’est accrue. Les informations d’identification des victimes qui se connectaient ont été volées et, par la suite, les pirates ont réussi à voler des actifs en crypto-monnaie aux victimes par force brute. De nombreux utilisateurs ont consulté l’équipe de sécurité de SlowMist à ce sujet. Ensuite, nous analyserons cet événement d’attaque en détail pour tirer la sonnette d’alarme pour la communauté crypto.

Analyse

Tout d’abord, nous devons trouver cette extension malveillante. Bien que Google ait déjà supprimé l’extension malveillante, nous pouvons toujours accéder à certaines données historiques grâce à des informations d’instantané.

Après avoir téléchargé et analysé l’extension, nous avons trouvé plusieurs fichiers JS dans le répertoire : background.js, content.js, jquery-3.6.0.min.js et jquery-3.5.1.min.js.

Au cours de l’analyse statique, nous avons observé que background.js et content.js ne contiennent pas de code trop complexe, ni de logique de code suspecte évidente. Cependant, dans background.js, nous avons trouvé un lien vers un site Web, et le plugin collecte des données et les envoie à https[ :]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.

En analysant le fichier manifest.json, nous pouvons voir que background.js utilise /jquery/jquery-3.6.0.min.js et content.js utilise /jquery/jquery-3.5.1.min.js. Concentrons-nous sur l’analyse de ces deux fichiers jQuery.

Nous avons découvert un code malveillant suspect dans jquery/jquery-3.6.0.min.js. Le code traite les cookies du navigateur au format JSON et les envoie au site : https[ :]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.

Après l’analyse statique, dans l’ordre d’analyser plus précisément le comportement de l’extension malveillante dans l’envoi de données, nous commençons par installer et déboguer l’extension. (Remarque : l’analyse doit être effectuée dans un tout nouvel environnement de test où aucun compte n’est connecté et où le site malveillant doit être remplacé par un site contrôlé pour éviter d’envoyer des données sensibles au serveur de l’attaquant.)

Une fois l’extension malveillante installée dans l’environnement de test, ouvrez n’importe quel site Web, tel que google.com, et observez les requêtes réseau effectuées par l’extension malveillante en arrière-plan. Nous avons observé que les données des cookies de Google sont envoyées à un serveur externe.

Nous avons également observé les données des cookies envoyées par l’extension malveillante sur le service Weblog.

À ce stade, si les attaquants accèdent à l’authentification de l’utilisateur, aux informations d’identification, etc., et utilisent le détournement de cookies d’extension de navigateur, ils peuvent mener une attaque par rejeu sur certains sites de trading, en volant les actifs en crypto-monnaie des utilisateurs.

Analysons à nouveau le lien malveillant : https[ :]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.

Domaine concerné : aggrtrade-extension[.] Com

Analysez les informations du nom de domaine dans l’image ci-dessus :

.ru indique qu’il s’agit probablement d’un utilisateur typique de la région russophone, ce qui suggère une forte probabilité d’implication de groupes de pirates informatiques russes ou d’Europe de l’Est.

Chronologie de l’attaque :

Analyse du site Web malveillant imitant AGGR (aggr.trade), aggrtrade-extension[.] com, nous avons découvert que les pirates informatiques ont commencé à planifier l’attaque il y a trois ans.

Il y a 4 mois, les pirates ont déployé l’attaque :

Selon le réseau de coopération InMist en matière de renseignement sur les menaces, nous avons découvert que l’adresse IP du pirate est située à Moscou, en utilisant un VPS fourni par srvape.com. Leur adresse e-mail est aggrdev@gmail.com.

Après un déploiement réussi, le pirate a commencé à faire de la promotion sur Twitter, attendant que des victimes sans méfiance chute dans le piège. Quant au reste de l’histoire, il est bien connu : certains utilisateurs ont installé l’extension malveillante et ont ensuite été victimes d’un vol.

L’image suivante est l’avertissement officiel d’AggrTrade :

Résumé

L’équipe de sécurité de SlowMist informe tous les utilisateurs que le risque des extensions de navigateur est presque aussi important que l’exécution directe de fichiers exécutables. Par conséquent, il est crucial de l’examiner attentivement avant de l’installer. Méfiez-vous également de ceux qui vous envoient des messages privés. De nos jours, les pirates et les escrocs se font souvent passer pour des projets légitimes et bien connus, prétendant offrir des opportunités de parrainage ou de promotion, ciblant les créateurs de contenu pour les escroqueries. Enfin, lorsque vous naviguez dans la forêt sombre de la blockchain, maintenez toujours une attitude sceptique pour vous assurer que ce que vous installez est sécurisé et non susceptible d’être exploité par des pirates.

慢雾科技], le titre original est « Wolf in Sheep’s Clothing | Fake Chrome Extension Theft Analysis », les droits d’auteur appartiennent à l’auteur original [Mountain&Thinking@Slow Mist Security Team], si vous avez des objections à la réimpression, veuillez contacter Gate Learn Team, l’équipe s’en occupera dans les plus brefs délais selon les procédures applicables.

Avis de non-responsabilité : Les points de vue et opinions exprimés dans cet article ne représentent que les opinions personnelles de l’auteur et ne constituent pas un conseil en investissement.

D’autres versions linguistiques de l’article sont traduites par l’équipe de Gate Learn, non mentionnées dans Gate.io, l’article traduit ne peut être reproduit, distribué ou plagié.