標題：CopperStealer傳播基於惡意Chromium的瀏覽器擴展來竊取加密貨幣

趨勢科技的研究人員跟踪了CopperStealer幕後組織的最新部署，這次是通過基於Chromium的惡意瀏覽器擴展程序竊取加密貨幣和用戶的錢包帳戶信息。

趨勢科技最近發布了關於CopperStealer通過濫用瀏覽器竊取程序、廣告軟件瀏覽器擴展程序或遠程桌面等各種組件傳播惡意軟件的分析。跟踪網絡犯罪集團的最新活動，研究人員發現了一個惡意瀏覽器擴展，當受害者登錄到一個主要的加密貨幣交易網站時，該擴展能夠創建和竊取受感染設備的API密鑰。這些API密鑰允許擴展程序執行交易並將加密貨幣從受害者的錢包發送到攻擊者的錢包。

與以前的攻擊類似，這個新組件通過fake crack（也稱為warez）網站傳播。該組件通常與瀏覽器竊取程序一起分佈在一個釋放器中，並與其他不相關的惡意軟件捆綁在一起。這個捆綁包被壓縮成一個受密碼保護的檔案，自7月以來一直在野外傳播。

滴管/擴展安裝程序該組件在第一階段使用之前文章中描述的相同加密器，然後是第二階段，其中解密的DLL是UltimatePackerExecutables-(UPX)打包的。解密和解包後，我們注意到一個名為CRX的資源目錄，其中包含一個7-Zip壓縮文件。惡意Chrome瀏覽器擴展通常以這種方式打包。

名為CRX的擴展安裝程序，包含一個7-Zip壓縮文件

該壓縮文件包含一個帶有設置的JSON文件和另一個帶有擴展安裝程序本身代碼的7-Zip壓縮文件。

CRX的解壓內容

擴展安裝程序首先修改文件首選項和安全首選項在chrome瀏覽器的用戶數據目錄。這個名為Preferences的文件是JSON格式，包含個人用戶設置。擴展安裝程序關閉瀏覽器通知。

同時，名為SecurePreferences的文件也是JSON格式，包含已安裝擴展的設置。對於新安裝的擴展，crx.json文件的內容將插入到此安全首選項設置文件中。新安裝的擴展也會添加到位於註冊表中的擴展安裝允許列表中。

然後將crx.7z壓縮文件中的文件提取到位於

Chrome

Chromium

Edge

Brave

Opera

CốcCốc

CentBrowser

Iridium

Vivaldi

Epic

Coowon

AvastSecureBrowser

Orbitum

ComodoDragon我們還注意到，該擴展程序被安裝到受害者的瀏覽器中，具有兩個不同的擴展程序ID，且在官方Chrome網上商店中都找不到：

Cbnmkphohlaaeiknkhpacmmnlljnaedp；

Jikoemlnjnpmecljncdgigogcnhlbfkc；擴展分析安裝擴展程序後，我們還注意到chrome://extensions/中新安裝了以下擴展程序。

安裝的惡意擴展

擴展清單定義了兩個Java腳本。後台腳本名為background.js，並且只在一個實例中運行在擴展本身內部。同時，內容腳本稱為content.js，並在coinbase.com上下文中運行，如擴展清單中的代碼片段所示。

在擴展清單中指定的內容腳本的設置

腳本混淆這兩個Javascript文件都被嚴重混淆。在第一個混淆步驟中，所有字符串被拆分為子字符串，存儲在單個數組中，通過調用多個帶有5個十六進制整數參數的十六進制命名函數來實現對數組的訪問。

第一層混淆

看看第二個混淆步驟，所有字符串、邏輯操作符(+、-、*、/)、函數調用等都被插入到對像數組中。每個對像都有一個隨機字符串作為名稱，或者另一個字符串或函數作為值。在我們分析的示例中，_0x1f27e3['PFPYr']對應字符串' set '， _0x1f27e3['LYLfc'](0,1)對應邏輯表達式0!=1。

第二層混淆

這兩個混淆步驟都可以通過使用自定義自動化腳本來反混淆。

後台腳本分析通過分析腳本，本節分析了攻擊者如何能夠竊取合法加密貨幣錢包用戶的賬戶信息。當擴展啟動時，後台腳本進行兩個查詢。第一個是對http:///traffic/chrome的GET請求，可能是出於統計目的。第二個查詢是對http://

blockchain.com

coinbase.com

binance.com

ftx.com

okex.com

huobi.com

kraken.com

poloniex.com

crypto.com

bithumb.com

bitfinex.com

kucoin.com

gate.io

tokocrypto.com

tabtrader.com

mexc.com

lbank.info

hotbit.io

bit2me.com

etoro.com

nicehash.com

probit.com然後，該擴展為各種加密貨幣和令牌定義了一個攻擊者的地址數組：

Tether(USDT,specificallyinEthereumERC20andTRONTRC20)

Ethereum(ETH)

Bitcoin(BTC)

Litecoin(LTC)

Binancecoin(BNB)

Ripple(XRP)

Solana(SOL)

BitcoinCash(BCH)

Zcash(ZEC)

StellarLumens(XLM)

Dogecoin(DOGE)

Tezos(XTZ)

Algorand(ALGO)

Dash(DASH)

Cosmos(ATOM)對於ETH地址，腳本硬編碼了大約170個額外的基於ERC20的代幣。之後，擴展啟動onMessage偵聽器以偵聽來自擴展進程或內容腳本發送的消息。該消息採用JSON格式，其中一個name-value pair稱為method。後台腳本偵聽以下方法：

马云惹不起马云Method “homeStart”

這個方法試圖從Chrome的本地存儲獲取API密鑰(apiKey)和API秘密(apiSecret)，如果這些密鑰和秘密對是之前獲得併保存的。以下步驟需要這些參數：

1.使用API通過請求/api/v2/accounts獲取有關錢包、地址和余額的信息。此請求的結果也被洩露到http://

2.如果請求成功，API會向內容腳本發送“okApi”消息並開始解析錢包信息。如果錢包餘額不為零，它會嘗試將85%的可用資金發送到攻擊者控制的錢包。

尋找餘額不為零的錢包

竊取85%的可用資金

交易請求的結果也會被洩露到http://

1.如果不成功，API會向內容腳本發送“errorApi”消息。 “errorApi”消息包含來自https://www.coinbase.com/settings/api的CSRF令牌作為一個參數，以及對新API密鑰創建請求的響應。

2.Method “createApi”。

此消息是從內容腳本接收的，並包含一個雙因素身份驗證(2FA)代碼作為參數之一。此代碼用於打開新的模式窗口以創建API密鑰。通常，當你在CoinbaseAPI設置中點擊“+NewAPIKey”時，會請求一個2FA代碼，如果代碼正確，就會出現模式窗口。

在創建新API的第二步中，需要選擇錢包及其權限。惡意擴展請求所有帳戶的所有可用權限。

選擇所有帳戶和權限

之後，需要再插入一個身份驗證代碼，然後就會顯示一個帶有新生成的API密鑰的表單。如果成功，後台腳本然後繼續從“API Key details”表單提取兩個API密鑰(API Key和API Secret)，將它們保存到Chromium的本地存儲以供以後使用，並將它們提取到http:///traffic/step。如果API身份驗證不成功，將向內容腳本發送一條“retryApi”消息。

內容腳本分析我們進一步研究了內容腳本，以分析負責從受害者那裡竊取2FA密碼的進程。內容腳本包含以下語言的消息列表：

马云惹不起马云英語(en)

马云惹不起马云德語（de）

马云惹不起马云西班牙語（es）

马云惹不起马云法語(fr)

马云惹不起马云日語(jp)

马云惹不起马云印度尼西亞（身份證）

马云惹不起马云意大利語（它）

马云惹不起马云波蘭語(pl)

马云惹不起马云葡萄牙語(pt)

马云惹不起马云俄語(ru)

马云惹不起马云泰語（日）

马云惹不起马云 土耳其語(tr)

每條消息都包含電話和身份驗證器的標題、描述和錯誤消息。

對於“phone”，顯示的英文信息顯示為：

马云惹不起马云“title”：“請輸入手機驗證碼。”

马云惹不起马云“description”：“輸入手機短信提供的兩步驗證碼。”

马云惹不起马云“message”：“該代碼無效。請再試一次。”

對於“authenticator”，顯示的英文消息如下所示：

马云惹不起马云“title”：“請輸入驗證器的驗證碼。”

马云惹不起马云“description”：“輸入你的身份驗證應用程序提供的兩步驗證碼。”

马云惹不起马云“message”：“該代碼無效。請再試一次。”

內容腳本最初向/api/v3/brokerage/user_configuration發出請求，以查看用戶是否已登錄。然後腳本向後台腳本發送一個“homeStart”消息，並開始使用onMessage偵聽類似於後台腳本進程的“method”屬性。如果它接收到一個方法屬性等於“okApi”的消息，它會隱藏代碼加載器並移除模式窗口。如果它接收到一個方法屬性等於“errorApi”的消息，它就會創建一個模式窗口。

顯示要求輸入身份驗證代碼的模式窗口

模式窗口有輸入框並偵聽oninput事件。如果每個輸入框都包含一個數字，則將它們連接成一個“tfa”（2FA）變量，並作為“createApi”消息的參數發送到後台腳本。代碼加載器也會顯示出來。

模式窗口有六個輸入框，需要輸入六位數，這是在使用驗證器時提供的。如果受害者通過短信使用身份驗證，那麼身份驗證代碼有7位數字，模式窗口將多一個輸入框。此邏輯在模式窗口代碼中實現。收到的方法屬性等於“retryApi”的消息會刪除所有插入的數字，並以紅色顯示錯誤消息。

輸入驗證碼後，出現錯誤信息

總結CopperStealer的幕後攻擊者會經常發起攻擊，研究人員將繼續監控他們的部署，因為攻擊者找到了更多針對不知情的受害者的方法。在分析此進程時，研究人員發現此擴展程序與之前報告的惡意軟件組件之間存在多個相似之處，其中之一是惡意擴展程序和CopperStealer是從之前記錄的同一個dropper和相同的傳輸載體傳播的。

另一個驚人的相似之處是惡意擴展的命令和控制(CC)域具有與域生成算法(DGA)域相同的格式，這些域被追溯為屬於先前版本的CopperStealer。格式是由16個十六進製字符組成的字符串。此外，他們的兩個CC服務器都是使用PHP框架“CodeIgniter”構建的。這些屬性向我們暗示，惡意軟件和擴展程序背後的開發人員或運營商可能存在關聯。

建議用戶和組織從官方平台下載他們的軟件、應用程序和更新，以緩解CopperStealer等惡意軟件帶來的風險和威脅。