首页
社区
课程
招聘
[翻译]Chrome恶意插件窃取Roblox游戏币并通过Discord发送窃取的Cookie
发表于: 2017-10-16 22:21 7522

[翻译]Chrome恶意插件窃取Roblox游戏币并通过Discord发送窃取的Cookie

2017-10-16 22:21
7522

我们最近讨论了网络犯罪分子如何使用流行的语音/聊天客户端Discord从Windows电脑上运行的Roblox进程中窃取cookies。此后,我们注意到遵循相同信息发生的另一次攻击,只有这次是攻击是通过Chrome插件(CRX文件)进行的。
虽然目前只针对Roblox用户,但使用相同的技术可以从任何网站窃取Cookie。此类攻击通过Discord发送被盗信息,但通过调整配置也可以使用其他聊天平台发送信息。 事实上,我们了解到,这款特别的Chrome插件在地下市场仅售99美分:

在“Dream Market”地下市场上出售的Roblox Trade Bot

我们使用以下文件名获取此bot的示例:ROBLOX BOT.zip,Crm5extension.crx,Roblox Enhancer.crx和DankTrades.zip。 第一个.ZIP文件包含一个名为bgWork.js的文件。

ZIP文件的内容

搜索关键词CRM5或bgWork.js,搜索引擎将引导你到论坛v3rmillion.net。 这个地下市场的论坛是Roblox黑客的聚集地,在此论坛中用户甚至可以用ROBUX(Roblox的游戏货币)交易其他工作或产品。
查看bgWork.js时,发现一个配置好的Discord webhook,在安装时通过Discord API发送被盗的Roblox cookie。 在这种情况下,本示例中该插件只被显示为Trade Bot,并被声称为是可以帮助你用ROBUX交易其他东西的RAP(近期平均价格)统计助手。 事实上此插件并不做这些事,它仅仅是将被盗的Cookie发送到Discord频道,而不给用户任何回报。

恶意插件的标题和信息

bgWork.js使用预定义的Webhook通过Discord平台发送消息,通过对上述Webhook进行修改我们可以使用任何其他聊天平台发送消息,这些平台我们在文章“网络犯罪分子如何滥用新聊天平台”中有过详细的讨论。

通过Discord发送被窃取cookie的代码

该插件还设置了一个每15分钟触发一次事件的闹钟。所触发的事件将通过Discord的API发送被盗的cookie(再次)。这些警报确保更新的cookie不断地被上传给攻击者。

在bgWork.js文件的头部(配置变量的位置),攻击者可以更改他们的webhook 的URL或者想要窃取的cookie。 这意味着可以用上述方法来窃取Web浏览器中的任何cookie; 这是此版本的新功能。

因为CRX文件只是具有不同扩展名的ZIP文件,恶意软件可以轻松重新配置,以便从Roblox之外的任何网站窃取cookies。 更改此插件的manifest.json文件使得其属性可被更改(例如其名称和描述),这使得无过错的用户更有可能成为此攻击的受害者。

如果用户不深入查看代码,这个插件表面看起来没有问题。 它可能会运行很长一段时间,在此期间如果受害者不断购买或获取新的ROBUX,攻击者可以多次窃取其ROBUX。只要运行一次刚刚提到的插件,ROBUX cookie就将被盗并被发送给攻击者。

如下所示,该扩展程序像之前的恶意软件那样将Roblox Cookie发送到的Discord频道。 我们修改了代码,将其发送到我们选择的Discord频道:

与以前盗取Roblox cookie的恶意软件(例如使用C#编译的TSPY_RAPID.A和TSPY_RAPID.D)不同,这款恶意软件也可在Macintosh计算机上使用。

我们发现的版本需要用户手动将插件安装到Chrome浏览器中,而这需要开启开发人员模式。 我们想知道是否有上述包含恶意代码的Roblox交易助手插件被添加到的Chrome的官网商店中,然后我们发现确实有这样的情况:

查看了一些针对这些插件的评论,我们看到一些用户抱怨说这些插件盗取ROBUX。 一位评论者甚至表示被窃取了整个Roblox账户。

我们看了网上商店里所有的Roblox交易助手,发现所有的包含恶意代码; 这些插件会将您的cookies发送到远程Discord网络钩子。 其中一个,一旦安装,甚至与之前讨论的恶意插件使用相同的图标。

上述例子表明即使是Chrome网上商店的扩展程序也有可能包含恶意代码从用户账号中盗取ROBUX。

要记住安装任何Chrome插件之前一定要验证其所需权限。 如果您不确定这些权限是否合适,最好先不要安装这些插件。这种特定的恶意插件需要“读取并更改您访问的网站上的所有数据”权限,这应该是对其恶意行为的一个暗示。

任何已下载其中一个扩展程序的人都应从浏览器中删除它。 这可以通过Chrome中的插件管理器来完成; Google在此提供有关如何执行的逐步指导。
趋势科技能够检测到类似BREX_CUKIEGRAB.SM的恶意插件。当谷歌还没有删除这些插件的时候,我们已将这些这件的情况报告给Google。
以下SHA-256散列与此威胁相关联:
• 0061a5f52c5b577f679e81da3ab3ad3803c20e345c16ffc4dbc8b76386d42a00
• 4c4af30a94cd25b23579e12b64191a056bda3c51b6e531a2202d3863b19432b3
• d9f21e401ef0197a2af66133e3f7fc3a4ea3efb4437884a4383076bad4060b02

原文链接:
http://blog.trendmicro.com/trendlabs-security-intelligence/malicous-chrome-extensions-stealing-roblox-game-currency-sending-cookies-via-discord/
本文由看雪翻译小组 jasonk龙莲 编译


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 1
支持
分享
最新回复 (3)
雪    币: 5596
活跃值: (2173)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
外链的图片显示不了
2017-10-17 23:18
0
雪    币: 6818
活跃值: (153)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
不错!!!
2017-10-18 21:44
0
雪    币: 534
活跃值: (193)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
4
wanttobeno 外链的图片显示不了
是吗,我这看着是正常的啊?
2017-11-29 11:16
0
游客
登录 | 注册 方可回帖
返回
//