7
作者:ThinkingyKT数字认知网 - 区块链数字货币实时行情平台
近日,社交平台 X 上的用户 @0xmaoning 联系慢雾安全团队寻求帮助,表示发现浏览器扩展“Osiris”存在钓鱼嫌疑,隐蔽性极强,自己险些中招,希望我们协助分析以避免更多人受害。yKT数字认知网 - 区块链数字货币实时行情平台
经过慢雾安全团队深入分析,该恶意浏览器扩展会替换用户的正常下载链接,将其重定向到恶意程序的下载地址。用户在毫不知情的情况下安装了这些恶意程序,导致加密资产失窃。在此特别感谢 X 用户 @0xmaoning 和 @Onefly_eth 提供的线索与反馈,为本次分析提供了关键支持,有效避免了更多用户落入陷阱。yKT数字认知网 - 区块链数字货币实时行情平台
yKT数字认知网 - 区块链数字货币实时行情平台
恶意浏览器扩展下载地址:yKT数字认知网 - 区块链数字货币实时行情平台
https[:]//chromewebstore.google.com/detail/osiris/leegjgppccbgnajpjgijlhplefgpnmdfyKT数字认知网 - 区块链数字货币实时行情平台
恶意程序下载地址:yKT数字认知网 - 区块链数字货币实时行情平台
https[:]//osiris.vip/registrartionusersuccessfully.php?type=dmgyKT数字认知网 - 区块链数字货币实时行情平台
恶意站点:yKT数字认知网 - 区块链数字货币实时行情平台
https[:]//osiris.vip/yKT数字认知网 - 区块链数字货币实时行情平台
恶意程序上传数据:yKT数字认知网 - 区块链数字货币实时行情平台
http[:]//192.124.178.88yKT数字认知网 - 区块链数字货币实时行情平台
攻击者通过社交平台推荐目标用户下载名为“Osiris”的恶意浏览器扩展。该扩展伪装成 Web3 安全工具,声称可以帮助用户识别 Web3 欺诈、钓鱼和恶意程序等威胁,实则暗藏祸心。yKT数字认知网 - 区块链数字货币实时行情平台
yKT数字认知网 - 区块链数字货币实时行情平台
恶意浏览器扩展下载地址(风险提醒:需在隔离环境中分析):https[:]//chromewebstore.google.com/detail/osiris/leegjgppccbgnajpjgijlhplefgpnmdf。yKT数字认知网 - 区块链数字货币实时行情平台
我们对该恶意扩展代码进行分析后发现,它通过“chrome.declarativeNetRequest.updateDynamicRules”设置网络请求规则。yKT数字认知网 - 区块链数字货币实时行情平台
代码内容如下所示:yKT数字认知网 - 区块链数字货币实时行情平台
yKT数字认知网 - 区块链数字货币实时行情平台
这些规则是从攻击者控制的服务器获取的。yKT数字认知网 - 区块链数字货币实时行情平台
规则获取的请求:https[:]//osiris.vip/security?uid=aauyaxxsyd。yKT数字认知网 - 区块链数字货币实时行情平台
yKT数字认知网 - 区块链数字货币实时行情平台
将规则添加到“chrome.declarativeNetRequest.updateDynamicRules”后,目标用户的后续网络请求一旦匹配到规则,就会被替换。yKT数字认知网 - 区块链数字货币实时行情平台
攻击者设置的规则包括:yKT数字认知网 - 区块链数字货币实时行情平台
匹配所有以 .exe、dmg、zip 结尾的 URL;yKT数字认知网 - 区块链数字货币实时行情平台
仅针对网页主框架(地址栏 URL)或子框架(iframe)的请求;yKT数字认知网 - 区块链数字货币实时行情平台
替换成恶意程序的下载链接。yKT数字认知网 - 区块链数字货币实时行情平台
yKT数字认知网 - 区块链数字货币实时行情平台
有关 declarativeNetRequest 的详细介绍可参考:https://developer.chrome.com/docs/extensions/reference/api/declarativeNetRequest。yKT数字认知网 - 区块链数字货币实时行情平台
yKT数字认知网 - 区块链数字货币实时行情平台
当目标用户安装完恶意扩展后,攻击者会引导用户访问某些应用程序官网(如 Notion 官网)下载应用,从而触发下载链接替换陷阱。触发后,尽管浏览器中的下载记录显示的是官方来源,但实际下载的文件已被替换为恶意程序。攻击者巧妙利用了浏览器展示上的漏洞欺骗用户。yKT数字认知网 - 区块链数字货币实时行情平台
yKT数字认知网 - 区块链数字货币实时行情平台
恶意程序分析yKT数字认知网 - 区块链数字货币实时行情平台
以下以 macOS 版本的恶意程序为例进行分析。yKT数字认知网 - 区块链数字货币实时行情平台
恶意程序下载地址(风险提醒:需在隔离环境中进行分析):https[:]//osiris.vip/registrartionusersuccessfully.php?type=dmg。yKT数字认知网 - 区块链数字货币实时行情平台
恶意程序运行后,会引导用户打开终端,并将 Installer 拖到终端中执行。yKT数字认知网 - 区块链数字货币实时行情平台
yKT数字认知网 - 区块链数字货币实时行情平台
实际上,用户执行的是 Installer.kmo 文件。该文件使用 base64 编码隐藏了攻击者的代码意图,同时要求用户输入电脑密码以获取权限,从而读取敏感数据。yKT数字认知网 - 区块链数字货币实时行情平台
yKT数字认知网 - 区块链数字货币实时行情平台
yKT数字认知网 - 区块链数字货币实时行情平台
解码后发现,其通过 bash 运行了一段 AppleScript 脚本,目的是运行 .Installer:yKT数字认知网 - 区块链数字货币实时行情平台
1. 查找目标磁盘,通过 AppleScript 列出所有挂载的磁盘,找到名称包含 Installer 的磁盘;yKT数字认知网 - 区块链数字货币实时行情平台
2. 复制隐藏安装程序,将该磁盘中的隐藏文件 .Installer 复制到 /tmp 目录,并赋予执行权限;yKT数字认知网 - 区块链数字货币实时行情平台
3. 静默执行,直接运行复制的安装程序,过程中通过 try 块抑制错误,无任何验证或用户交互。yKT数字认知网 - 区块链数字货币实时行情平台
yKT数字认知网 - 区块链数字货币实时行情平台
运行 .Installer 后,该程序会打包用户的 Chrome 浏览器数据和 keychain 等重要信息,并上传至 192.124.178.88。攻击者拿到这些数据后,可以尝试解码获取 Web3 钱包的私钥或助记词,从而窃取用户资产,还可以获取 Chrome 中保存的账号密码,进一步接管用户的社交平台账号、加密货币平台账号等。yKT数字认知网 - 区块链数字货币实时行情平台
yKT数字认知网 - 区块链数字货币实时行情平台
yKT数字认知网 - 区块链数字货币实时行情平台
类似攻击手法我们此前已分析过,感兴趣的读者可参阅《眼见不为实|假 Zoom 会议钓鱼分析》。yKT数字认知网 - 区块链数字货币实时行情平台
真正的安全无需过度承诺,伪工具终究难以掩饰杀机。Web3 世界机遇与风险并存,以“安全”为名的解决方案或工具推荐,也可能成为攻击者利用的心理突破口。这类伪装成“安全工具”的扩展程序通过劫持下载链接、植入恶意代码等手段窃取加密资产和用户数据,已导致部分用户蒙受损失。鉴于此,慢雾安全团队提醒广大用户切勿随意安装未知程序或扩展,也不要轻信陌生人的方案或工具推荐。此外,建议用户安装知名杀毒软件,进一步提升端上安全防护能力。yKT数字认知网 - 区块链数字货币实时行情平台
2
2
2
2
6
6
