Background

El 1 de marzo de 2024, según el usuario de Twitter @doomxbt, hubo una situación anormal con su cuenta de Binance, con fondos sospechosos de haber sido robados:

(https://x.com/doomxbt/status/1763237654965920175)

Inicialmente, este incidente no atrajo mucha atención. Sin embargo, el 28 de mayo de 2024, el usuario de Twitter @Tree_of_Alfa analizó y descubrió que la víctima, @doomxbt, probablemente instaló una extensión Aggr maliciosa de Chrome Web Store, que tuvo muchas críticas positivas (¡no confirmamos directamente con la víctima)! Esta extensión puede robar todas las cookies de los sitios web visitados por los usuarios, y hace dos meses, alguien pagó a personas influyentes para que la promocionaran.

(https://x.com/Tree_of_Alpha/status/1795403185349099740)

En los últimos días, la atención sobre este incidente ha aumentado. Las credenciales de las víctimas que iniciaban sesión fueron robadas y, posteriormente, los piratas informáticos lograron robar activos de criptomonedas de las víctimas mediante la fuerza bruta. Muchos usuarios han consultado al equipo de seguridad de SlowMist con respecto a este problema. A continuación, analizaremos este evento de ataque en detalle para hacer sonar la alarma de la comunidad cripto.

Análisis

En primer lugar, tenemos que encontrar esta extensión maliciosa. Aunque Google ya ha eliminado la extensión maliciosa, aún podemos acceder a algunos datos históricos a través de la información de instantáneas.

Después de descargar y analizar la extensión, encontramos varios archivos JS en el directorio: background.js, content.js, jquery-3.6.0.min.js y jquery-3.5.1.min.js.

Durante el análisis estático, observamos que background.js y content.js no contienen código demasiado complejo, ni tienen ninguna lógica de código sospechosa obvia. Sin embargo, en background.js, encontramos un enlace a un sitio web, y el plugin recopila datos y los envía a https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.

Al analizar el archivo manifest.json, podemos ver que background.js usa /jquery/jquery-3.6.0.min.js y content.js usa /jquery/jquery-3.5.1.min.js. Centrémonos en el análisis de estos dos archivos jQuery.

Hemos descubierto código malicioso sospechoso en jquery/jquery-3.6.0.min.js. El código procesa las cookies del navegador en formato JSON y las envía al sitio: https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.

Después del análisis estático, en orden para analizar con mayor precisión el comportamiento de la extensión maliciosa en el envío de datos, comenzamos instalando y depurando la extensión. (Nota: El análisis debe realizarse en un entorno de prueba completamente nuevo en el que no se inicie sesión en ninguna cuenta, y el sitio malicioso debe cambiarse a uno controlado para evitar el envío de datos confidenciales al servidor del atacante).

Una vez instalada la extensión maliciosa en el entorno de prueba, abra cualquier sitio web, como google.com, y observe las solicitudes de red realizadas por la extensión maliciosa en segundo plano. Observamos que los datos de las cookies de Google se envían a un servidor externo.

También observamos los datos de las cookies enviadas por la extensión maliciosa en el servicio Weblog.

En este punto, si los atacantes obtienen acceso a la autenticación del usuario, las credenciales, etc., y utilizan el secuestro de cookies de extensión del navegador, pueden realizar un ataque de repetición en ciertos sitios web comerciales, robando los activos de criptomonedas de los usuarios.

Analicemos de nuevo el enlace malicioso: https[:]//aggrtrade-extension[.] com/statistics_collection/index[.] Php.

Dominio involucrado: aggrtrade-extension[.] Com

Analice la información del nombre de dominio en la imagen de arriba:

.ru indica que es probable que se trate de un usuario típico de la región de habla rusa, lo que sugiere una alta probabilidad de participación de grupos de hackers rusos o de Europa del Este.

Cronología del ataque:

Analizando el sitio web malicioso que imita a AGGR (aggr.trade), aggrtrade-extension[.] com, descubrimos que los hackers comenzaron a planear el ataque hace tres años.

Hace 4 meses, los hackers desplegaron el ataque:

De acuerdo con la red de cooperación de inteligencia de amenazas InMist, descubrimos que la IP del pirata informático se encuentra en Moscú, utilizando un VPS proporcionado por srvape.com. Su correo electrónico es aggrdev@gmail.com.

Después de implementarse con éxito, el hacker comenzó a promocionar en Twitter, esperando que las víctimas desprevenidas caída en el trampa. En cuanto al resto de la historia, es bien conocida: algunos usuarios instalaron la extensión maliciosa y posteriormente fueron víctimas de robos.

La siguiente imagen es la advertencia oficial de AggrTrade:

Summary

El equipo de seguridad de SlowMist informa a todos los usuarios de que el riesgo de las extensiones del navegador es casi tan importante como el de ejecutar archivos ejecutables directamente. Por lo tanto, es crucial revisar cuidadosamente antes de instalar. Además, tenga cuidado con aquellos que le envían mensajes privados. Hoy en día, los piratas informáticos y los estafadores a menudo se hacen pasar por proyectos legítimos y conocidos, afirmando ofrecer oportunidades de patrocinio o promoción, apuntando a los creadores de contenido para estafas. Por último, cuando navegues por el bosque oscuro de la cadena de bloques, mantén siempre una actitud escéptica para asegurarte de que lo que instalas es seguro y no es susceptible de ser explotado por los hackers.

Statement:

1. Este artículo se reproduce de [ 慢雾科技], el título original es "Lobo con piel de oveja | Fake Chrome Extension Theft Analysis", los derechos de autor pertenecen al autor original [Mountain&Thinking@Slow Mist Security Team], si tiene alguna objeción a la reimpresión, póngase en contacto con Gate Learn Team, el equipo se encargará de ello lo antes posible de acuerdo con los procedimientos pertinentes.

2. Descargo de responsabilidad: Los puntos de vista y opiniones expresados en este artículo representan solo los puntos de vista personales del autor y no constituyen ningún consejo de inversión.

3. Las versiones en otros idiomas del artículo son traducidas por el equipo de Gate Learn, no mencionadas en Gate.io, el artículo traducido no puede ser reproducido, distribuido o plagiado.