
Un loup en vêtement de mouton : analyse du vol par de fausses extensions Chrome
TechFlow SélectionTechFlow Sélection

Un loup en vêtement de mouton : analyse du vol par de fausses extensions Chrome
Marcher dans la forêt sombre de la blockchain, c'est toujours maintenir une attitude de doute et s'assurer que ce que vous installez est sécurisé.
Rédaction : Shan, Thinking, équipe de sécurité SlowMist
Contexte
Le 1er mars 2024, selon un tweet de l'utilisateur @doomxbt, son compte Binance a présenté des anomalies, et ses fonds sembleraient avoir été volés :

(https://x.com/doomxbt/status/1763237654965920175)
Au départ, cet incident n’a pas attiré beaucoup d’attention. Mais le 28 mai 2024, l’utilisateur Twitter @Tree_of_Alpha a analysé et découvert que la victime @doomxbt avait probablement installé une extension malveillante Aggr sur Chrome, très bien notée dans le Chrome Web Store. Cette extension pouvait voler tous les cookies des sites visités par l’utilisateur, et il y a deux mois, des influenceurs avaient été payés pour la promouvoir.

(https://x.com/Tree_of_Alpha/status/1795403185349099740)
Ces derniers jours, l’affaire a suscité davantage d’intérêt : les identifiants des victimes ont été volés après leur connexion, puis des hackers ont utilisé des transactions croisées (wash trades) pour dérober leurs actifs cryptographiques. De nombreux utilisateurs ont consulté l’équipe de sécurité SlowMist à ce sujet. Nous allons maintenant analyser en détail cet incident afin d’alerter la communauté crypto.
Analyse
Tout d’abord, nous devons retrouver cette extension malveillante. Bien que Google l’ait déjà retirée du Chrome Web Store, nous pouvons consulter certaines données historiques via des instantanés (snapshots).

Après téléchargement et analyse, on constate que les fichiers JS du répertoire sont background.js, content.js, jquery-3.6.0.min.js et jquery-3.5.1.min.js.
Lors de l’analyse statique, nous remarquons que background.js et content.js ne contiennent pas de code particulièrement complexe ni de logique suspecte évidente. Toutefois, dans background.js, nous découvrons un lien vers un site, qui reçoit les données collectées par l’extension via https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php.

En examinant le fichier manifest.json, on voit que « background » utilise /jquery/jquery-3.6.0.min.js, tandis que « content » utilise /jquery/jquery-3.5.1.min.js. Concentrons-nous donc sur l’analyse de ces deux fichiers jQuery :

Dans jquery/jquery-3.6.0.min.js, nous trouvons un code malveillant suspect : celui-ci récupère les cookies du navigateur, les traite en JSON, puis les envoie vers le site https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php.

Après analyse statique, afin d’étudier plus précisément le comportement d’envoi des données par l’extension malveillante, nous procédons à son installation et à son débogage. (Attention : cette analyse doit se faire dans un environnement de test complètement vierge, sans aucun compte connecté, et en redirigeant le serveur malveillant vers un serveur contrôlé, afin d’éviter d’envoyer accidentellement des données sensibles au serveur de l’attaquant.)
Une fois l’extension malveillante installée dans l’environnement de test, nous ouvrons un site quelconque, comme google.com, puis observons les requêtes réseau dans le script background de l’extension. Nous constatons alors que les cookies de Google sont envoyés vers un serveur externe :

Nous voyons également sur notre service Weblog les données de cookies envoyées par l’extension malveillante :

À ce stade, si un attaquant obtient les informations d’authentification ou les identifiants d’un utilisateur, et utilise une extension de navigateur pour intercepter les cookies, il peut effectuer des attaques par wash trade sur certains sites d’échange et ainsi voler les actifs cryptographiques des utilisateurs.
Examinons maintenant le lien malveillant de retour https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php.
Domaine concerné : aggrtrade-extension[.]com

Analysons les informations du domaine figurant sur l’image ci-dessus :

L’extension .ru semble indiquer un utilisateur typique de zone russophone, suggérant fortement qu’il s’agit d’un groupe de hackers russe ou d’Europe de l’Est.
Ligne chronologique de l’attaque :
En analysant le site malveillant aggrtrade-extension[.]com, imitant AGGR (aggr.trade), nous découvrons que les hackers planifiaient cette attaque depuis trois ans :


Il y a quatre mois, les hackers ont déployé l’attaque :



Selon le réseau de renseignement sur les menaces InMist, l’adresse IP des hackers se situe à Moscou, utilisant un VPS fourni par srvape.com, avec l’adresse e-mail [email protected].

Après le déploiement réussi, les hackers ont commencé à promouvoir l’extension sur Twitter, attendant que les utilisateurs tombent dans le piège. La suite est connue : certains utilisateurs ont installé l’extension malveillante, puis ont été piratés.
L’image ci-dessous montre l’avertissement officiel d’AggrTrade :

Conclusion
L’équipe de sécurité SlowMist rappelle aux utilisateurs que les risques liés aux extensions de navigateur sont presque aussi élevés que ceux d’exécuter un fichier exécutable. Il est donc essentiel de bien vérifier chaque extension avant de l’installer. Soyez également prudents face aux messages privés : aujourd’hui, hackers et escrocs aiment se faire passer pour des projets légitimes et célèbres, offrant des financements ou des campagnes de promotion, ciblant particulièrement les créateurs de contenu. Enfin, lorsque vous évoluez dans la sombre forêt blockchain, conservez toujours un esprit critique, assurez-vous que tout ce que vous installez est sécurisé, et ne laissez aucune opportunité aux hackers.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News










