我们最近讨论了网络犯罪分子如何使用流行的语音/聊天客户端Discord从Windows电脑上运行的Roblox进程中窃取cookies。此后，我们注意到遵循相同信息发生的另一次攻击，只有这次是攻击是通过Chrome插件（CRX文件）进行的。
虽然目前只针对Roblox用户，但使用相同的技术可以从任何网站窃取Cookie。此类攻击通过Discord发送被盗信息，但通过调整配置也可以使用其他聊天平台发送信息。 事实上，我们了解到，这款特别的Chrome插件在地下市场仅售99美分：

我们使用以下文件名获取此bot的示例：ROBLOX BOT.zip，Crm5extension.crx，Roblox Enhancer.crx和DankTrades.zip。 第一个.ZIP文件包含一个名为bgWork.js的文件。

搜索关键词CRM5或bgWork.js，搜索引擎将引导你到论坛v3rmillion.net。 这个地下市场的论坛是Roblox黑客的聚集地，在此论坛中用户甚至可以用ROBUX（Roblox的游戏货币）交易其他工作或产品。
查看bgWork.js时，发现一个配置好的Discord webhook，在安装时通过Discord API发送被盗的Roblox cookie。 在这种情况下，本示例中该插件只被显示为Trade Bot，并被声称为是可以帮助你用ROBUX交易其他东西的RAP（近期平均价格）统计助手。 事实上此插件并不做这些事，它仅仅是将被盗的Cookie发送到Discord频道，而不给用户任何回报。

bgWork.js使用预定义的Webhook通过Discord平台发送消息，通过对上述Webhook进行修改我们可以使用任何其他聊天平台发送消息，这些平台我们在文章“网络犯罪分子如何滥用新聊天平台”中有过详细的讨论。

该插件还设置了一个每15分钟触发一次事件的闹钟。所触发的事件将通过Discord的API发送被盗的cookie（再次）。这些警报确保更新的cookie不断地被上传给攻击者。

在bgWork.js文件的头部（配置变量的位置），攻击者可以更改他们的webhook 的URL或者想要窃取的cookie。 这意味着可以用上述方法来窃取Web浏览器中的任何cookie; 这是此版本的新功能。

因为CRX文件只是具有不同扩展名的ZIP文件，恶意软件可以轻松重新配置，以便从Roblox之外的任何网站窃取cookies。 更改此插件的manifest.json文件使得其属性可被更改（例如其名称和描述），这使得无过错的用户更有可能成为此攻击的受害者。

如果用户不深入查看代码，这个插件表面看起来没有问题。 它可能会运行很长一段时间，在此期间如果受害者不断购买或获取新的ROBUX，攻击者可以多次窃取其ROBUX。只要运行一次刚刚提到的插件，ROBUX cookie就将被盗并被发送给攻击者。

如下所示，该扩展程序像之前的恶意软件那样将Roblox Cookie发送到的Discord频道。 我们修改了代码，将其发送到我们选择的Discord频道：

与以前盗取Roblox cookie的恶意软件（例如使用C＃编译的TSPY_RAPID.A和TSPY_RAPID.D）不同，这款恶意软件也可在Macintosh计算机上使用。

我们发现的版本需要用户手动将插件安装到Chrome浏览器中，而这需要开启开发人员模式。 我们想知道是否有上述包含恶意代码的Roblox交易助手插件被添加到的Chrome的官网商店中，然后我们发现确实有这样的情况：

查看了一些针对这些插件的评论，我们看到一些用户抱怨说这些插件盗取ROBUX。 一位评论者甚至表示被窃取了整个Roblox账户。

我们看了网上商店里所有的Roblox交易助手，发现所有的包含恶意代码; 这些插件会将您的cookies发送到远程Discord网络钩子。 其中一个，一旦安装，甚至与之前讨论的恶意插件使用相同的图标。

上述例子表明即使是Chrome网上商店的扩展程序也有可能包含恶意代码从用户账号中盗取ROBUX。

要记住安装任何Chrome插件之前一定要验证其所需权限。 如果您不确定这些权限是否合适，最好先不要安装这些插件。这种特定的恶意插件需要“读取并更改您访问的网站上的所有数据”权限，这应该是对其恶意行为的一个暗示。

任何已下载其中一个扩展程序的人都应从浏览器中删除它。 这可以通过Chrome中的插件管理器来完成; Google在此提供有关如何执行的逐步指导。
趋势科技能够检测到类似BREX_CUKIEGRAB.SM的恶意插件。当谷歌还没有删除这些插件的时候，我们已将这些这件的情况报告给Google。
以下SHA-256散列与此威胁相关联：
• 0061a5f52c5b577f679e81da3ab3ad3803c20e345c16ffc4dbc8b76386d42a00
• 4c4af30a94cd25b23579e12b64191a056bda3c51b6e531a2202d3863b19432b3
• d9f21e401ef0197a2af66133e3f7fc3a4ea3efb4437884a4383076bad4060b02

原文链接：
http://blog.trendmicro.com/trendlabs-security-intelligence/malicous-chrome-extensions-stealing-roblox-game-currency-sending-cookies-via-discord/
本文由看雪翻译小组 jasonk龙莲 编译

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课