日常在使用瀏覽器時,我們經常會安裝許多擴充套件來增進瀏覽器的便利性。在這篇文章中,我們將會分享了一個惡意的瀏覽器擴充套件是如何對交易所/錢包的使用者進行攻擊。

可疑的擴充套件
接下來我們介紹今天的主角,一個叫做MultiLogin的可疑擴充套件,功能大致上可以提供同時多重登入網站的擴充套件。

在進行分析前,我們先簡單介紹一下擴充套件的結構。通常一個擴充套件基本上由幾個檔案組成:
- manifest.json : 一個json格式的清單文件檔案,內容決定了使用者看到的擴充套件樣貌和執行的程式。
- 幾個會被執行的html或是js檔案

那麼接下來讓我們看看他的程式碼,我們先從manifest.json
的內容看起…
首先是權限列表
看起來要了蠻多的權限,不過比較了一下其他同類的擴充套件,似乎也都是Multi login這樣的功能可能會用到的。

再來是 content_scripts
這段是網頁打開時,會執行js修改網頁內容的區塊。

既然裡面提到了 content.min.js
,那我們就來看看這隻js實際做了什麼。
果然發現了幾個奇怪的片段…
看起來有個以日期為版本編號的JPG連結



分析惡意的js程式碼
下面這段是惡意程式碼進行比對和置換的地址清單


更多…
積極更新的紀錄
版本更新相當頻繁,2020年度已經更新了至少5次。

地址清單
前文所出現的地址清單,都是可以跟著jpg裡潛藏的js進行更新。
防毒軟體檢出率
截至2020/12/22為止,檢出率為0/60。

架構
動態取得惡意程式本體來規避偵測,另外也使用CDN服務來避免後端中繼站承受不住大量使用者的存取。

如何影響交易所/錢包
顯而易見的,這些惡意的擴充套件可以輕易的對任何提供虛擬貨幣地址的服務進行有效攻擊,無論是任何交易所或錢包服務使用者都是他們潛在的攻擊目標。
如何避免和自我檢查
在大量使用瀏覽器作為上網媒介的時代,完全不去使用擴充套件是不太可能的,然而有大量的惡意程式正潛藏在這些擴充套件之中,以不同的形式來危害使用者。哪怕今天使用的是開放原始碼的擴充套件,也有可能存在開發者帳號被盜/與原始碼不一致的問題。以下是我們的建議:
- 使用有敏感資訊或是財務資訊的網站時,應避免載入任何的擴充套件。例如: 使用無痕模式並停止所有擴充套件載入, 或是使用Firefox的安全模式。
- 不再使用的擴充套件,請將它移除。避免在未來不預期的更新中成為惡意擴充套件的受害者。
- 請記得時常關注資安新聞,避免已經成為受害者而不自知。
- 如果您懷疑您已經成為受害者,您可以參考我們的FAQ[3]進行處理。
後記
本次分享的MultiLogin擴充套件已被Chrome Web Store下架,但在今天你仍然可以搜尋到大量的備份網站, 教學文章, 甚至是開發推薦。
Be aware, be secure.
Reference
- History of MultiLogin: https://www.crx4chrome.com/history/105428/
- 如何進入Firefox安全模式: https://support.mozilla.org/zh-TW/kb/troubleshoot-firefox-issues-using-safe-mode#w_ru-he-jin-ru-firefox-an-quan-mo-shi
- FAQ:
https://support.maicoin.com/zh-TW/support/solutions/articles/32000029846-為何會收到帳戶安全警告-我該如何確保資產安全-