日常在使用浏览器时,我们经常会安装许多插件来增进浏览器的便利性。在这篇文章中,我们将会分享了一个恶意的浏览器插件是如何对交易所/钱包的使用者进行攻击。
可疑的插件
接下来我们介绍今天的主角,一个叫做MultiLogin的可疑插件,功能大致上可以提供同时多重登入网站的插件。
(MultiLogin on Chrome)
在进行分析前,我们先简单介绍一下插件的结构。通常一个插件基本上由几个档案组成:
- manifest.json : 一个json格式的清单文件档案,内容决定了使用者看到的插件样貌和执行的程序。
- 几个会被执行的html或是js档案
Extracted MultiLogin extension
那么接下来让我们看看他的程序代码,我们先从manifest.json的内容看起…
首先是权限列表
看起来要了蛮多的权限,不过比较了一下其他同类的插件,似乎也都是Multi login这样的功能可能会用到的。
权限列表
再来是 content_scripts
这段是网页打开时,会执行js修改网页内容的区块。
content_scripts
既然里面提到了content.min.js,那我们就来看看这只js实际做了什么。
果然发现了几个奇怪的片段…
看起来有个以日期为版本编号的JPG连结
OKCoin-Polygon集成上线:用户可节省25%的Gas费用
数字货币交易所OKCoin已成为同类中第一个集成以太坊第2层项目Polygon桥的公司。此举将使以太坊用户在汽油价格上涨时节省高达25%的费用。该集成还将允许用户从他们的OKCoin钱包中提取
然后在这个JPG里面藏着什么资讯需要被取出
最后还有个eval ,用来执行前面被取出的资料
我们跟着这段程序代码把这个图片还原,结果我们得到了另外一段的js程序代码…
分析恶意的js程序代码
下面这段是恶意程序代码进行比对和置换的地址清单
而这段程序代码更具体说明了它会更改使用者的剪贴簿
更多…
积极更新的纪录
版本更新相当频繁,2020年度已经更新了至少5次。
Screenshot from crx4chrome.com[1]
地址清单
前文所出现的地址清单,都是可以跟着jpg里潜藏的js进行更新。
防毒软件检出率
截至2020/12/22为止,检出率为0/60。
架构
动态取得恶意程序本体来规避侦测,另外也使用CDN服务来避免后端中继站承受不住大量使用者的存取。
如何影响交易所/钱包
显而易见的,这些恶意的插件可以轻易的对任何提供虚拟货币地址的服务进行有效攻击,无论是任何交易所或钱包服务使用者都是他们潜在的攻击目标。
如何避免和自我检查
在大量使用浏览器作为上网媒介的时代,完全不去使用插件是不太可能的,然而有大量的恶意程序正潜藏在这些插件之中,以不同的形式来危害使用者。哪怕今天使用的是开放原始码的插件,也有可能存在开发者帐号被盗/与原始码不一致的问题。以下是我们的建议:
- 使用有敏感资讯或是财务资讯的网站时,应避免载入任何的插件。例如: 使用无痕模式并停止所有插件载入, 或是使用Firefox的安全模式。
- 不再使用的插件,请将它移除。避免在未来不预期的更新中成为恶意插件的受害者。
- 请记得时常关注资安新闻,避免已经成为受害者而不自知。
- 如果您怀疑您已经成为受害者,您可以参考我们的FAQ[3]进行处理。
后记
本次分享的MultiLogin插件已被Chrome Web Store下架,但在今天你仍然可以搜寻到大量的备份网站,教学文章,甚至是开发推荐。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
Sett Vault 用户指南
什么是Setts Vaults? Sett是像Yearn Finance一样的代币化比特币保险库,你可以在其中存入资产,我们将通过DeFi协议执行自动化策略以产生收益。 在接下来的8周的流动性挖矿活动中,我们的
原创文章,作者:掘金K,如若转载,请注明出处:https://www.20on.com/114540.html
