惡意Chrome擴充功能竊取Roblox遊戲貨幣

資安趨勢部落格最近討論過網路犯罪份子利用玩家經常使用的新一代聊天平台: Discord,從Windows電腦上的Roblox程序竊取cookie。在那之後,我們又看到類似的竊取行為,只是這次是利用Chrome擴充功能(CRX檔案)。

雖然它目前的目標只針對擁有 1 億 7,800 萬名註冊用戶的ROBLOX遊戲使用者,但相同的技術可以用來在任何網站竊取cookie。偷來的資訊會透過Discord聊天平台發送,不過這也能夠變更成其他聊天平台。而且趨勢科技發現這個Chrome擴充功能可以只用99美分在Dream Market地下市場買到:

圖1、Roblox Trade Bot在“Dream Market”地下市場販賣(點擊放大)

 

我們取得這交易機器人內的樣本如下:ROBLOX BOT.zip、Crm5extension.crx、Roblox Enhancer.crxDankTrades.zip。第一個ZIP檔內包含一個檔案名為bgWork.js

圖2、 ZIP檔案內容

 

搜尋CRM5或bgWork.js會找到論壇v3rmillion.net。這個地下市場論壇是Roblox駭客的熱門網站。人們甚至會開始用ROBUX(Roblox遊戲內的貨幣)來交易其他工作或產品。

檢視bgWork.js會發現一個設定好的Discord網路掛接(webhook)。安裝之後,惡意軟體會透過Discord API送出竊來的Roblox cookie。在此例中,這個交易機器人擴充功能號稱會取得最近的平均價格,協助你來將ROBUX交易成別的東西。但這擴充功能實際上並不會這麼做;只會將偷來的cookie送到Discord頻道,對使用者沒有任何用處。

圖3、惡意擴充功能的標題和訊息(點擊放大)

 

bgWork.js會使用預先定義的網路掛接(webhook)透過Discord發送訊息,這也可以改成使用我們在報告“新聊天平台如何會被網路犯罪份子濫用中所討論的其他聊天平台。

圖4、透過Discord發送竊來cookie的程式碼(點擊放大)

 

這擴充功能還有警報設定,每15分鐘會觸發一個事件。這事件會再次地透過Discord API發送偷來的Cookie,該警報設定可以確保更新的cookie持續上傳給攻擊者。

圖5、每15分鐘的警報設定

 

在bgWork.js檔案開頭(可以設定變數),攻擊者可以變更網路掛接(webhook)網址或想偷的cookie。這代表可以用來竊取瀏覽器的任何cookie;這能力是這版本內新出現的。

圖6、設定要竊取Cookie和Discord API的程式碼(點擊放大)

 

因為CRX檔案只是使用不同副檔名的ZIP檔案,可以輕易地重新設定惡意軟體來從任意網站竊取cookie,而不限於Roblox。更改擴充功能的manifest.json檔案可以變更其屬性(如名稱和說明),讓它更容易讓毫無戒心的使用者淪為受害者。

圖7、Chrome擴充功能的manifest.json檔案(點擊放大)

 

除非使用者仔細檢查擴充功能的程式碼,不然看不出異狀。它可能會執行一段長時間,讓攻擊者可以重複地竊取ROBUX,取決於受害者是否會持續購買或取得新ROBUX。它要做的只是執行擴充功能來竊取ROBUX cookie並發送到惡意份子。

圖8、安裝在Google Chrome的Roblox Trade Assist擴充功能(點擊放大)

 

如下圖所示,擴充功能跟之前的惡意軟體一樣會將Roblox cookie送到一個Discord頻道。我們修改了程式碼,將其發送到我們所選的Discord通道:

圖9、發送到Discord的Cookie(點擊放大)

 

跟之前的Roblox Cookie竊取程式(像TSPY_RAPID.A和TSPY_RAPID.D)使用C#開發不同,這次的惡意軟體也可以在麥金塔電腦上執行。

圖10、Roblox Trade Assist擴充功能安裝在OS X系統上的Google Chrome

 

我們找到的版本需要使用者手動安裝擴充功能到自己的Chrome,這需要開啟開發者模式。在官方Chrome網路商店我們找到了交易機器人:

圖11、Chrome網路商店上的Roblox交易機器人擴充功能(點擊放大)

 

檢查它們的評論後會看到有些用戶抱怨它們會竊取ROBUX。一名留言的人甚至說它偷走了整個Roblox帳號。

圖12、Roblox交易機器人的評論(點擊放大)

 

我們檢查網路商店所列出的Roblox交易機器人,發現所有這些都是惡意的;它們會將你的cookies送到遠端Discord網路掛接(webhook)。其中一個在安裝後甚至跟我們前面所討論惡意擴充功能使用相同的圖示。

圖13、使用TRADE圖示的惡意Chrome擴充功能(點擊放大)

 

這說明即使是Chrome網路商店內的擴充功能也可能是惡意的,會從使用者帳戶竊取ROBUX。

圖14、ROBLAX Trade/Snipe BOT擴充功能的bgwork.js內容(點擊放大)

 

所以要記住,安裝任何Chrome擴充功能時要確認所需的權限。如果你不能確認這些權限,最好就不要安裝。這種惡意擴充功能需要“讀取和變更你瀏覽網站的所有數據”的權限,這也是惡意行為的一種提示。

圖15、ROBLOX Trade/Snipe BOT要求的權限

 

已經下載這些擴充功能的人應該要將它們從瀏覽器中移除。這可以透過Chrome擴充功能管理程式進行;Google也在這裡提供了詳細步驟說明。

趨勢科技將這些惡意擴充功能偵測為BREX_CUKIEGRAB.SM。我們已經將這些擴充功能回報給Google;當本文撰寫時尚未被移除。

 

下面是與此威脅相關的SHA-256值:

  • 0061a5f52c5b577f679e81da3ab3ad3803c20e345c16ffc4dbc8b76386d42a00
  • 4c4af30a94cd25b23579e12b64191a056bda3c51b6e531a2202d3863b19432b3
  • d9f21e401ef0197a2af66133e3f7fc3a4ea3efb4437884a4383076bad4060b02

 

@原文出處:Malicous Chrome Extensions Stealing Roblox In-Game Currency, Sending Cookies via Discord 作者:Stephen Hilt和Lord Alfred Remorin(資深威脅研究員)