
羊の皮を被った狼:偽のChrome拡張機能による盗難分析
TechFlow厳選深潮セレクト

羊の皮を被った狼:偽のChrome拡張機能による盗難分析
ブロックチェーンの暗黒森林を歩く際には、常に疑念を持つことが必要であり、インストールするものが安全であることを確認しなければならない。
執筆:山、Thinking、スローミストセキュリティチーム
背景
2024年3月1日、Twitterユーザー@doomxbtが自身のBinanceアカウントに異常があり、資金が盗まれた可能性があると報告しました。

(https://x.com/doomxbt/status/1763237654965920175)
当初この事件はあまり注目されませんでしたが、2024年5月28日にTwitterユーザー@Tree_of_Alphaが分析し、被害者@doomxbtがChromeウェブストアで高評価を得ていた悪意あるAggr拡張機能をインストールしていた可能性があることを発見しました。この拡張機能は、ユーザーがアクセスしたサイト上のすべてのCookieを窃取でき、さらに2か月前にはインフルエンサーに支払いを行い、積極的に宣伝させていたことがわかりました。

(https://x.com/Tree_of_Alpha/status/1795403185349099740)
最近この事件への関心が高まり、ログイン後の認証情報が盗まれたことにより、ハッカーがトレード操作(ウォッシュトレード)によって被害者の暗号資産を盗み出していることが判明しています。多くのユーザーからスローミストセキュリティチームに相談が寄せられています。以下では、この攻撃事例を詳しく分析し、暗号資産コミュニティに警鐘を鳴らします。
分析
まず、この悪意ある拡張機能を特定する必要があります。Googleがすでに当該拡張機能を削除していますが、スナップショット情報を通じて過去のデータを確認できます。

ダウンロード後、ファイル構成を確認すると、JSファイルとしてbackground.js、content.js、jquery-3.6.0.min.js、jquery-3.5.1.min.jsが含まれていました。
静的解析の過程で、background.jsおよびcontent.jsには複雑なコードや明らかな不審なロジックはほとんどありませんでしたが、background.js内に外部サイトへのリンクを発見し、プラグインが取得したデータを https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php へ送信していることがわかりました。

manifest.jsonファイルを分析すると、backgroundは/jquery/jquery-3.6.0.min.jsを使用し、contentは/jquery/jquery-3.5.1.min.jsを使用していることがわかります。そこで、この2つのjQueryファイルに注目してさらに解析を行います。

jquery/jquery-3.6.0.min.jsの中に不審な悪意コードを発見しました。このコードは、ブラウザ内のCookieをJSON形式で処理し、site : https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php へ送信していました。

静的解析後、より正確に悪意拡張機能のデータ送信挙動を把握するため、実際に拡張機能をインストールしてデバッグを開始しました。(注意:テスト環境は完全に新しく、何のアカウントもログインしていない状態で行い、悪意のある送信先を自ら管理可能なサーバーに変更することで、テスト中に機密データが攻撃者のサーバーに送られないようにしてください。)
テスト環境に悪意ある拡張機能をインストール後、google.comなどの任意のサイトを開き、拡張機能のbackgroundからのネットワーク要求を観察したところ、GoogleのCookieデータが外部サーバーへ送信されていることが確認されました。

Weblogサービス上でも、拡張機能が送信したCookieデータを確認できました。

以上より、攻撃者がユーザーの認証情報やクレデンシャルを入手すれば、ブラウザ拡張を通じてCookieをハイジャックし、取引所などでのトレード操作によってユーザーの暗号資産を盗むことが可能であることがわかります。
次に、データが送信される悪意のあるリンク https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php をさらに分析します。
関連ドメイン:aggrtrade-extension[.]com

上図のドメイン情報を解析:

.ruは典型的なロシア語圏のユーザーを示しており、おそらくロシアまたは東ヨーロッパのハッカーグループによるものと考えられます。
攻撃タイムライン:
正規のAGGR (aggr.trade) を模倣した悪意あるサイト aggrtrade-extension[.]com を分析した結果、ハッカーが3年前から攻撃を計画していたことがわかりました。


4か月前、ハッカーが攻撃を展開:



InMistの脅威インテリジェンス協力ネットワークによると、ハッカーのIPはモスクワにあり、srvape.comが提供するVPSを利用しており、メールアドレスは [email protected] でした。

展開が完了すると、ハッカーはTwitter上で積極的に拡張機能を宣伝し、被害者を待ち構えていました。その後の経緯は周知の通りです。一部のユーザーがこの悪意ある拡張機能をインストールし、資産を盗まれる結果となりました。
下記はAggrTrade公式が出した警告です。

まとめ
スローミストセキュリティチームは、すべてのユーザーに以下の点を強く呼びかけます。ブラウザ拡張機能のリスクは、実行可能ファイルを直接実行するのとほぼ同等に大きいです。インストール前に必ず内容を慎重に確認してください。また、DMなどで突然連絡してくる人物にも注意が必要です。現在、ハッカーや詐欺師は、支援やプロモーションといった名目で、合法で有名なプロジェクトを装い、コンテンツクリエイターなどを狙った詐欺を頻繁に行っています。最後に、ブロックチェーンのダークフォレストを歩く際は常に疑念を持ち続け、自分がインストールするものが安全であることを確実にしてください。ハッカーに付け入られる隙を与えないようにしましょう。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News










