瞄准区块链的“赚钱”插件
前不久,我在网上无意中看到了一个能“赚钱”的区块链项目。它承诺只要你安装一个指定的浏览器插件,那么你的每笔区块链交易都会给你5%的现金返还。
这听起来太过美好,让我完全不敢相信。
这个项目中的Chrome插件的id为liachincjagnalnmahaioaogkngbmhf
(CCB cash),其显示已有181个用户。当然,这个插件现在已经找不到了。
自然而然,我检查了它的代码——不出所料,“赚钱”是不可能的。
这个恶意插件主要会对以下区块链币种产生影响:BTC、ETH、BCH、BNB、LTC、XRP、ETC。
它会要求什么权限?
第一次安装这个浏览器插件时,它要求对多个域(包括GitHub、Exmo、Coinba se、Binance、HitBtc、LocalBitcoins等)进行读写访问。
它会获取浏览器中所有页面的cookie——这能让它从各种交易所和区块链钱包中窃取你的资产。
它的行为有哪些?
总而言之,它会偷取所有它能接触的所有“秘密”。
例如,如果你正在上Binance网站,它会窃取您的登录信息、2FA代码、CSRF令牌,并尝试自动提现。
让我们看看它到底是怎么做的。
步骤1)窃取登录信息
当你点击“登录”按钮时,恶意插件中的代码就会被激活,它会窃取你的输入电子邮件和密码,并将其存储在本地中,然后发送到攻击者的服务器。这一过程并不会影响正常的登录流程。
步骤2)窃取2FA(双因素认证)代码
除了用户名和密码,它还会将监视用户2FA的输入。一旦用户点击提交,它也会将输入的2FA代码和窃取到的用户名密码一同发送到攻击者的服务器。
如果你已登录,每隔5分钟它就会提示你要输入你的Google 2FA代码,然后发送到攻击者服务器。攻击者通过这种方式不停的对你的帐户进行破解。
步骤3)偷取您的CSRF令牌并退出
如果你在在Binance(交易平台)中跳转到余额页面,它就会从cookie中窃取CSRF令牌,发送到攻击者服务器;接着,它会发出一个POST
请求,获取你的余额,再默默退出。
这一过程主要是通过对窃取到的CSRF令牌进行MD5求值,然后再发出一个post/exchange/private/yserAssetTransferBtc
请求实现的。最后,它会将获取到的值进行排序,确定提现目标。
如果它发现一个余额大于0.01(BTC)的币种,并且能够提现,它就会自动进入这个币种的提现页面,并自动填写提现请求,然后单击自动提现——它还会通过di v
标签编造一个2FA确认弹框来覆盖真实的页面,让你误以为你已登出了帐户,而忽略当前页面已被重定向到其他页面这一现象。
接着,用户会输入他们的2FA代码来“恢复”他们的登录(用户完全不知道刚刚这一操作会让自己的货币转到他人帐户上),用户接着就会收到确认电子邮件。
而这封收到邮件看起来就像常规的“确认邮件”,但是如果他们不检查邮件内容,只点击链接,那么攻击者就得手了。
对于Coinba se网站来说也是如此,也会偶尔会出现2FA输入框,窃取你的cookie和登录信息。
如果你使用这个插件转到“帐户”页面,它会计算您的币种资产(同时将所有资产值发送到其攻击者服务器),并尝试提取。如下图
从上图可以看到,它会重新伪造提取窗口,诱导用户输入错误信息。如果交易涉及100英镑,它留给你3%的“返现”。
这个伪造的窗口可能在你加载帐户页面时随时出现,利用用户的大意,偷偷摸摸的窃取你的钱财。
总而言之,这个插件会窃取你的区块链相关帐户信息,并试图将你的钱财转出。
资金流向何处?
攻击者有以下接受地址:
- BTC — 16EegrNMdZ9Rxku6Za5neEFjMW57wkQr1S
- ETH — 0x03b70dc31abf9cf6c1cf80bfeeb322e8d3dbb4ca
- BCH — 1PCh7w6LdcEv1sWd5wtvkELHcWe5HumUi3
- LTC — LRPChoyN8qLWENjo1dUjk2bESZjE7bQ6sP
- BNB — 0x03B70DC31abF9cF6C1cf80bfEEB322E8D3DBB4ca
- XRP — rGmdGrMjvxt6S3VjF4M78U2YMLPR6XLPSN
- ETC — 0x4F53C9882Ba87d2D7c525dF2aEF2540EFB6e32e5
自从这个恶意插件在2018年12月3日在Chrome商店上架以来,预估总共窃取了23.235502279个BTC。
背后的秘密?
我发现了疑似攻击者服务器和地址,这很有可能这是一个俄罗斯团体发起的攻击。
安装未知的的插件总是很危险,我们必须时刻保证自己的设备在自己的完全控制之下。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://medium.com/mycrypto/the-dangers-of-malicious-browser-extensions-ef9c10f0128f
最新评论