瞄准区块链的“赚钱”插件

前不久,我在网上无意中看到了一个能“赚钱”的区块链项目。它承诺只要你安装一个指定的浏览器插件,那么你的每笔区块链交易都会给你5%的现金返还。

这听起来太过美好,让我完全不敢相信。

这个项目中的Chrome插件的id为liachincjagnalnmahaioaogkngbmhf(CCB cash),其显示已有181个用户。当然,这个插件现在已经找不到了。

22.png

自然而然,我检查了它的代码——不出所料,“赚钱”是不可能的。

这个恶意插件主要会对以下区块链币种产生影响:BTC、ETH、BCH、BNB、LTC、XRP、ETC。

它会要求什么权限?

第一次安装这个浏览器插件时,它要求对多个域(包括GitHub、Exmo、Coinba se、Binance、HitBtc、LocalBitcoins等)进行读写访问。

它会获取浏览器中所有页面的cookie——这能让它从各种交易所和区块链钱包中窃取你的资产。

它的行为有哪些?

总而言之,它会偷取所有它能接触的所有“秘密”。

例如,如果你正在上Binance网站,它会窃取您的登录信息、2FA代码、CSRF令牌,并尝试自动提现。

让我们看看它到底是怎么做的。

步骤1)窃取登录信息

当你点击“登录”按钮时,恶意插件中的代码就会被激活,它会窃取你的输入电子邮件和密码,并将其存储在本地中,然后发送到攻击者的服务器。这一过程并不会影响正常的登录流程。

33.png

步骤2)窃取2FA(双因素认证)代码

除了用户名和密码,它还会将监视用户2FA的输入。一旦用户点击提交,它也会将输入的2FA代码和窃取到的用户名密码一同发送到攻击者的服务器。

44.png

如果你已登录,每隔5分钟它就会提示你要输入你的Google 2FA代码,然后发送到攻击者服务器。攻击者通过这种方式不停的对你的帐户进行破解。

55.png

步骤3)偷取您的CSRF令牌并退出

如果你在在Binance(交易平台)中跳转到余额页面,它就会从cookie中窃取CSRF令牌,发送到攻击者服务器;接着,它会发出一个POST请求,获取你的余额,再默默退出。

这一过程主要是通过对窃取到的CSRF令牌进行MD5求值,然后再发出一个post/exchange/private/yserAssetTransferBtc请求实现的。最后,它会将获取到的值进行排序,确定提现目标。

如果它发现一个余额大于0.01(BTC)的币种,并且能够提现,它就会自动进入这个币种的提现页面,并自动填写提现请求,然后单击自动提现——它还会通过di v标签编造一个2FA确认弹框来覆盖真实的页面,让你误以为你已登出了帐户,而忽略当前页面已被重定向到其他页面这一现象。

66.png

接着,用户会输入他们的2FA代码来“恢复”他们的登录(用户完全不知道刚刚这一操作会让自己的货币转到他人帐户上),用户接着就会收到确认电子邮件。

而这封收到邮件看起来就像常规的“确认邮件”,但是如果他们不检查邮件内容,只点击链接,那么攻击者就得手了。

对于Coinba se网站来说也是如此,也会偶尔会出现2FA输入框,窃取你的cookie和登录信息。

77.png

如果你使用这个插件转到“帐户”页面,它会计算您的币种资产(同时将所有资产值发送到其攻击者服务器),并尝试提取。如下图

88.png

从上图可以看到,它会重新伪造提取窗口,诱导用户输入错误信息。如果交易涉及100英镑,它留给你3%的“返现”。

这个伪造的窗口可能在你加载帐户页面时随时出现,利用用户的大意,偷偷摸摸的窃取你的钱财。

总而言之,这个插件会窃取你的区块链相关帐户信息,并试图将你的钱财转出。

资金流向何处?

攻击者有以下接受地址:

  • BTC — 16EegrNMdZ9Rxku6Za5neEFjMW57wkQr1S

  • ETH — 0x03b70dc31abf9cf6c1cf80bfeeb322e8d3dbb4ca

  • BCH — 1PCh7w6LdcEv1sWd5wtvkELHcWe5HumUi3

  • LTC — LRPChoyN8qLWENjo1dUjk2bESZjE7bQ6sP

  • BNB — 0x03B70DC31abF9cF6C1cf80bfEEB322E8D3DBB4ca

  • XRP — rGmdGrMjvxt6S3VjF4M78U2YMLPR6XLPSN

  • ETC — 0x4F53C9882Ba87d2D7c525dF2aEF2540EFB6e32e5

自从这个恶意插件在2018年12月3日在Chrome商店上架以来,预估总共窃取了23.235502279个BTC。

背后的秘密?

我发现了疑似攻击者服务器和地址,这很有可能这是一个俄罗斯团体发起的攻击。

安装未知的的插件总是很危险,我们必须时刻保证自己的设备在自己的完全控制之下。

*文章为作者独立观点,不代表BSCEC立场

转载此文章须经作者同意,并请附上出处(nosec)及本页链接。原文链接 https://nosec.org/home/detail/2198.html

白帽汇安全研究院转载2019-01-24 12:03:44 nosec 761