虚假 Chrome 扩展盗窃分析

7/12/2024, 3:36:22 AM

进阶

近日多位Web3参与者由于下载了虚假的Chrome插件导致浏览器Cookies被读取，然后账户资金丢失。慢雾团队对该诈骗手法进行了详细的分析。

背景

2024 年 3 月 1 日，据推特用户 @doomxbt 反馈，其币安账户存在异常情况，资金疑似被盗：

(https://x.com/doomxbt/status/1763237654965920175)

一开始这个事件没有引起太大关注，但在 2024 年 5 月 28 日，推特用户 @Tree_of_Alpha 分析发现受害者 @doomxbt 疑似安装了一个 Chrome 商店中有很多好评的恶意 Aggr 扩展程序（我们未直接与受害者求证）！它可以窃取用户访问的网站上的所有 cookies，并且 2 个月前有人付钱给一些有影响力的人来推广它。

(https://x.com/Tree_of_Alpha/status/1795403185349099740)

这两天此事件关注度提升，有受害者登录后的凭证被盗取，随后黑客通过对敲盗走受害者的加密货币资产，不少用户咨询慢雾安全团队这个问题。接下来我们会具体分析该攻击事件，为加密社区敲响警钟。

分析

首先，我们得找到这个恶意扩展。虽然已经 Google 已经下架了该恶意扩展，但是我们可以通过快照信息看到一些历史数据。

下载后进行分析，从目录上 JS 文件是 background.js，content.js，jquery-3.6.0.min.js，jquery-3.5.1.min.js。

静态分析过程中，我们发现 background.js 和 content.js 没有太多复杂的代码，也没有明显的可疑代码逻辑，但是我们在 background.js 发现一个站点的链接，并且会将插件获取的数据发送到 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。

通过分析 manifest.json 文件，可以看到 background 使用了 /jquery/jquery-3.6.0.min.js，content 使用了 /jquery/jquery-3.5.1.min.js，于是我们来聚焦分析这两个 jquery 文件：

我们在 jquery/jquery-3.6.0.min.js 中发现了可疑的恶意代码，代码将浏览器中的 cookies 通过 JSON 处理后发送到了 site : https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。

静态分析后，为了能够更准确地分析恶意扩展发送数据的行为，我们开始对扩展进行安装和调试。（注意：要在全新的测试环境中进行分析，环境中没有登录任何账号，并且将恶意的 site 改成自己可控的，避免测试中将敏感数据发送到攻击者的服务器上）

在测试环境中安装好恶意扩展后，打开任意网站，比如 google.com，然后观察恶意扩展 background 中的网络请求，发现 Google 的 cookies 数据被发送到了外部服务器：

我们在 Weblog 服务上也看到了恶意扩展发送的 cookies 数据：

至此，如果攻击者拿到用户认证、凭证等信息，使用浏览器扩展劫持 cookies，就可以在一些交易网站进行对敲攻击，盗窃用户的加密资产。

我们再分析下回传恶意链接 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。

涉及域名：aggrtrade-extension[.]com

解析上图的域名信息：

.ru 看起来是典型的俄语区用户，所以大概率是俄罗斯或东欧黑客团伙。

攻击时间线：

分析仿冒 AGGR (aggr.trade) 的恶意网站 aggrtrade-extension[.]com，发现黑客 3 年前就开始谋划攻击：

4 个月前，黑客部署攻击：

根据 InMist 威胁情报合作网络，我们查到黑客的 IP 位于莫斯科，使用 srvape.com 提供的 VPS ，邮箱是 aggrdev@gmail.com。

部署成功后，黑客便开始在推特上推广，等待鱼儿上钩。后面的故事大家都知道了，一些用户安装了恶意扩展，然后被盗。

下图是 AggrTrade 的官方提醒：

总结

慢雾安全团队提醒广大用户，浏览器扩展的风险几乎和直接运行可执行文件一样大，所以在安装前一定要仔细审核。同时，小心那些给你发私信的人，现在黑客和骗子都喜欢冒充合法、知名项目，以资助、推广等名义，针对内容创作者进行诈骗。最后，在区块链黑暗森林里行走，要始终保持怀疑的态度，确保你安装的东西是安全的，不让黑客有机可乘。

声明：

本文转载自[慢雾科技]，原文标题“披着羊皮的狼｜虚假 Chrome 扩展盗窃分析”，著作权归属原作者[山&Thinking@慢雾安全团队]，如对转载有异议，请联系Gate Learn团队，团队会根据相关流程尽速处理。

免责声明：本文所表达的观点和意见仅代表作者个人观点，不构成任何投资建议。

文章其他语言版本由Gate Learn团队翻译，在未提及 Gate.io的情况下不得复制、传播或抄袭经翻译文章。

总结

币圈日历

2025年在日内瓦的Sibos

Quant将于2025年9月29日至10月2日在日内瓦参加Sibos会议。在会议期间，公司的代表打算讨论其可编程结算基础设施在欧洲银行和支付机构从传统支付渠道过渡中的应用。

QNT

-4.39%

2025-10-01

TOKEN2049在新加坡

Akash Network 将参加 TOKEN2049，这是一个将于 10 月 1 日至 2 日在新加坡举行的技术和加密货币会议。该公司打算展示其去中心化人工智能的愿景，并讨论使用 AKT TOKEN 扩展去中心化物理基础设施网络（DePIN）的问题。

AKT

-0.42%

2025-10-01

新加坡的Token2049

COTI将于10月1日至2日在新加坡参加代币2049。

COTI

-5.31%

2025-10-01

2025年新加坡Arweave日亚洲

ao Computer 报告称，Arweave Day Asia 2025 将于10月2日在新加坡举行。会议将重点关注 Permaweb 生态系统的发展，设有旨在进行技术讨论和创意互动的会议。

-4.96%

2025-10-01

2025年首尔南峰会

CHEQD Network 已被选为 2025 年南峰会创业竞赛的决赛入围者，活动将于 10 月 1 日至 2 日举行。今年的峰会聚焦于深科技和人工智能。cheqd 将在舞台上和展览区展示其信任基础设施以及可验证的人工智能用例。

CHEQ

6.56%

2025-10-01

中级

在比特币网络历史上，最令人期待的事件之一就是比特币减半。当矿工验证交易并添加新区块后获得奖励时，就会创建新的比特币。新铸造的比特币就是奖励的来源。比特币减半减少了矿工的奖励，因此新比特币进入流通的速度也减半。人们认为减半事件对网络以及比特币的价格产生了重大影响。法币何时发行取决于政府的决定，而比特币则不同，其发行上限为21,000,000枚。减半是一种调节比特币产量的方法，同时有助于抑制通货膨胀，因为减半让比特币的铸造无法超过发行量上限。本文将深入研究比特币减半及其重要性。

12/14/2022, 5:48:29 AM