惡意的瀏覽器擴充套件如何影響你的錢包

日常在使用瀏覽器時,我們經常會安裝許多擴充套件來增進瀏覽器的便利性。在這篇文章中,我們將會分享了一個惡意的瀏覽器擴充套件是如何對交易所/錢包的使用者進行攻擊。

MultiLogin

可疑的擴充套件

接下來我們介紹今天的主角,一個叫做MultiLogin的可疑擴充套件,功能大致上可以提供同時多重登入網站的擴充套件。

Screen Shot 2020-12-22 at 4.54.45 PM.png (MultiLogin on Chrome)

在進行分析前,我們先簡單介紹一下擴充套件的結構。通常一個擴充套件基本上由幾個檔案組成:

  • manifest.json : 一個json格式的清單文件檔案,內容決定了使用者看到的擴充套件樣貌和執行的程式。
  • 幾個會被執行的html或是js檔案
 

image.png
(Extracted MultiLogin extension)

那麼接下來讓我們看看他的程式碼,我們先從manifest.json的內容看起…

 

首先是權限列表

看起來要了蠻多的權限,不過比較了一下其他同類的擴充套件,似乎也都是Multi login這樣的功能可能會用到的。

manifest_2.png

 

再來是 content_scripts

這段是網頁打開時,會執行js修改網頁內容的區塊。

manifest_1.png

既然裡面提到了 content.min.js ,那我們就來看看這隻js實際做了什麼。

果然發現了幾個奇怪的片段…

看起來有個以日期為版本編號的JPG連結
Screen Shot 2020-12-25 at 6.54.29 PM.png