
Sói đội lốt cừu: Phân tích về các tiện ích mở rộng Chrome giả mạo đánh cắp thông tin
Tuyển chọn TechFlowTuyển chọn TechFlow

Sói đội lốt cừu: Phân tích về các tiện ích mở rộng Chrome giả mạo đánh cắp thông tin
Đi trong khu rừng tối tăm của blockchain, bạn phải luôn giữ thái độ hoài nghi và đảm bảo rằng những gì bạn cài đặt là an toàn.
Tác giả: Sơn, Thinking, Đội an ninh SlowMist
Bối cảnh
Ngày 1 tháng 3 năm 2024, theo phản ánh từ người dùng Twitter @doomxbt, tài khoản Binance của anh ta gặp sự cố bất thường, tiền có dấu hiệu bị đánh cắp:

(https://x.com/doomxbt/status/1763237654965920175)
Ban đầu sự việc này không thu hút nhiều sự chú ý, nhưng đến ngày 28 tháng 5 năm 2024, người dùng Twitter @Tree_of_Alpha phân tích và phát hiện nạn nhân @doomxbt nghi ngờ đã cài đặt một tiện ích mở rộng Aggr độc hại trên Chrome Store nhận được rất nhiều đánh giá tích cực. Tiện ích này có thể đánh cắp tất cả cookie trên các trang web mà người dùng truy cập, và cách đây 2 tháng có người đã trả tiền cho một số người có ảnh hưởng để quảng bá nó.

(https://x.com/Tree_of_Alpha/status/1795403185349099740)
Gần đây, sự kiện này ngày càng được quan tâm, khi thông tin đăng nhập của các nạn nhân bị đánh cắp, sau đó hacker thực hiện giao dịch thao túng (wash trading) để rút sạch tài sản tiền mã hóa. Nhiều người dùng đã liên hệ với đội an ninh SlowMist để hỏi về vấn đề này. Dưới đây chúng tôi sẽ phân tích chi tiết vụ tấn công nhằm cảnh báo cộng đồng tiền mã hóa.
Phân tích
Đầu tiên, chúng ta cần tìm ra tiện ích mở rộng độc hại này. Mặc dù Google đã gỡ bỏ tiện ích khỏi cửa hàng, nhưng chúng ta vẫn có thể xem lại một số dữ liệu lịch sử thông qua bản lưu trữ.

Sau khi tải xuống và phân tích, ta thấy trong thư mục chứa các tập tin JS gồm background.js, content.js, jquery-3.6.0.min.js, jquery-3.5.1.min.js.
Trong quá trình phân tích tĩnh, chúng tôi nhận thấy background.js và content.js không có quá nhiều mã phức tạp hay logic đáng ngờ rõ ràng. Tuy nhiên, trong background.js, chúng tôi phát hiện một liên kết đến một trang web, và tiện ích sẽ gửi dữ liệu thu thập được đến địa chỉ https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php.

Thông qua phân tích tập tin manifest.json, ta thấy background sử dụng /jquery/jquery-3.6.0.min.js, còn content sử dụng /jquery/jquery-3.5.1.min.js. Vì vậy, chúng tôi tập trung phân tích hai tập tin jquery này:

Chúng tôi phát hiện mã độc khả nghi trong tập tin jquery/jquery-3.6.0.min.js. Mã này xử lý cookie trình duyệt dưới dạng JSON rồi gửi đến địa chỉ site: https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php.

Sau khi phân tích tĩnh, để hiểu chính xác hơn hành vi gửi dữ liệu của tiện ích độc hại, chúng tôi tiến hành cài đặt và gỡ lỗi tiện ích. (Lưu ý: Phân tích phải được thực hiện trong môi trường thử nghiệm hoàn toàn mới, chưa đăng nhập bất kỳ tài khoản nào, đồng thời thay đổi địa chỉ server độc hại thành máy chủ do mình kiểm soát để tránh rò rỉ dữ liệu nhạy cảm đến máy chủ của kẻ tấn công trong quá trình thử nghiệm.)
Sau khi cài đặt tiện ích độc hại vào môi trường thử nghiệm, mở một trang web bất kỳ như google.com, quan sát yêu cầu mạng trong phần background của tiện ích, chúng tôi phát hiện dữ liệu cookie của Google đã bị gửi đến máy chủ bên ngoài:

Chúng tôi cũng nhìn thấy dữ liệu cookie do tiện ích độc hại gửi đi trên dịch vụ Weblog:

Tới đây, nếu kẻ tấn công có được thông tin xác thực, chứng chỉ người dùng,... bằng cách sử dụng tiện ích mở rộng trình duyệt để đánh cắp cookie, họ có thể thực hiện các cuộc tấn công giao dịch thao túng (wash trade) trên các trang web giao dịch nhằm đánh cắp tài sản tiền mã hóa của người dùng.
Tiếp tục phân tích liên kết độc hại nhận dữ liệu: https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php.
Tên miền liên quan: aggrtrade-extension[.]com

Phân tích thông tin tên miền trong hình trên:

.ru là đuôi tên miền đặc trưng của khu vực nói tiếng Nga, do đó rất có thể đây là nhóm tin tặc đến từ Nga hoặc Đông Âu.
Thời gian biểu tấn công:
Phân tích trang web giả mạo AGGR (aggr.trade) - aggrtrade-extension[.]com, phát hiện ra tin tặc đã lên kế hoạch tấn công từ 3 năm trước:


4 tháng trước, tin tặc triển khai tấn công:



Theo mạng lưới tình báo đe dọa InMist, chúng tôi xác định IP của tin tặc nằm ở Moscow, sử dụng VPS do srvape.com cung cấp, email là [email protected].

Sau khi triển khai thành công, tin tặc bắt đầu quảng bá trên Twitter, chờ đợi "con mồi" mắc câu. Phần còn lại của câu chuyện thì ai cũng biết: một số người dùng đã cài đặt tiện ích độc hại và bị mất tiền.
Hình dưới là cảnh báo chính thức từ AggrTrade:

Tổng kết
Đội an ninh SlowMist nhắc nhở người dùng rộng rãi rằng rủi ro từ tiện ích mở rộng trình duyệt gần như tương đương với việc trực tiếp chạy một tập tin thực thi. Do đó, trước khi cài đặt, hãy luôn kiểm tra kỹ lưỡng. Đồng thời, hãy cẩn thận với những người gửi tin nhắn riêng cho bạn – hiện nay tin tặc và lừa đảo thích giả danh các dự án hợp pháp, nổi tiếng, lấy cớ tài trợ, quảng bá để lừa đảo các nhà sáng tạo nội dung. Cuối cùng, khi bước vào khu rừng tối blockchain, hãy luôn giữ thái độ hoài nghi, đảm bảo mọi thứ bạn cài đặt đều an toàn, đừng để tin tặc có cơ hội lợi dụng.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News












