資安趨勢部落格最近討論過網路犯罪份子利用玩家經常使用的新一代聊天平台: Discord,從Windows電腦上的Roblox程序竊取cookie。在那之後,我們又看到類似的竊取行為,只是這次是利用Chrome擴充功能(CRX檔案)。
雖然它目前的目標只針對擁有 1 億 7,800 萬名註冊用戶的ROBLOX遊戲使用者,但相同的技術可以用來在任何網站竊取cookie。偷來的資訊會透過Discord聊天平台發送,不過這也能夠變更成其他聊天平台。而且趨勢科技發現這個Chrome擴充功能可以只用99美分在Dream Market地下市場買到:
圖1、Roblox Trade Bot在“Dream Market”地下市場販賣(點擊放大)
我們取得這交易機器人內的樣本如下:ROBLOX BOT.zip、Crm5extension.crx、Roblox Enhancer.crx和DankTrades.zip。第一個ZIP檔內包含一個檔案名為bgWork.js。
圖2、 ZIP檔案內容
搜尋CRM5或bgWork.js會找到論壇v3rmillion.net。這個地下市場論壇是Roblox駭客的熱門網站。人們甚至會開始用ROBUX(Roblox遊戲內的貨幣)來交易其他工作或產品。
檢視bgWork.js會發現一個設定好的Discord網路掛接(webhook)。安裝之後,惡意軟體會透過Discord API送出竊來的Roblox cookie。在此例中,這個交易機器人擴充功能號稱會取得最近的平均價格,協助你來將ROBUX交易成別的東西。但這擴充功能實際上並不會這麼做;只會將偷來的cookie送到Discord頻道,對使用者沒有任何用處。 繼續閱讀
