作者:ThinkingUbhWeb3.0区块链技术的发展与应用_数字货币购买

背景

近日,社交平台 X 上的用户 @0xmaoning 联系慢雾安全团队寻求帮助,表示发现浏览器扩展“Osiris”存在钓鱼嫌疑,隐蔽性极强,自己险些中招,希望我们协助分析以避免更多人受害。UbhWeb3.0区块链技术的发展与应用_数字货币购买

经过慢雾安全团队深入分析,该恶意浏览器扩展会替换用户的正常下载链接,将其重定向到恶意程序的下载地址。用户在毫不知情的情况下安装了这些恶意程序,导致加密资产失窃。在此特别感谢 X 用户 @0xmaoning 和 @Onefly_eth 提供的线索与反馈,为本次分析提供了关键支持,有效避免了更多用户落入陷阱。UbhWeb3.0区块链技术的发展与应用_数字货币购买

警惕伪装成安全工具的恶意扩展:Osiris 浏览器扩展分析UbhWeb3.0区块链技术的发展与应用_数字货币购买

相关攻击信息

恶意浏览器扩展下载地址:UbhWeb3.0区块链技术的发展与应用_数字货币购买

https[:]//chromewebstore.google.com/detail/osiris/leegjgppccbgnajpjgijlhplefgpnmdfUbhWeb3.0区块链技术的发展与应用_数字货币购买

恶意程序下载地址:UbhWeb3.0区块链技术的发展与应用_数字货币购买

https[:]//osiris.vip/registrartionusersuccessfully.php?type=dmgUbhWeb3.0区块链技术的发展与应用_数字货币购买

恶意站点:UbhWeb3.0区块链技术的发展与应用_数字货币购买

https[:]//osiris.vip/UbhWeb3.0区块链技术的发展与应用_数字货币购买

恶意程序上传数据:UbhWeb3.0区块链技术的发展与应用_数字货币购买

http[:]//192.124.178.88UbhWeb3.0区块链技术的发展与应用_数字货币购买

钓鱼技巧分析

攻击者通过社交平台推荐目标用户下载名为“Osiris”的恶意浏览器扩展。该扩展伪装成 Web3 安全工具,声称可以帮助用户识别 Web3 欺诈、钓鱼和恶意程序等威胁,实则暗藏祸心。UbhWeb3.0区块链技术的发展与应用_数字货币购买

警惕伪装成安全工具的恶意扩展:Osiris 浏览器扩展分析UbhWeb3.0区块链技术的发展与应用_数字货币购买

恶意浏览器扩展下载地址(风险提醒:需在隔离环境中分析):https[:]//chromewebstore.google.com/detail/osiris/leegjgppccbgnajpjgijlhplefgpnmdf。UbhWeb3.0区块链技术的发展与应用_数字货币购买

我们对该恶意扩展代码进行分析后发现,它通过“chrome.declarativeNetRequest.updateDynamicRules”设置网络请求规则。UbhWeb3.0区块链技术的发展与应用_数字货币购买

代码内容如下所示:UbhWeb3.0区块链技术的发展与应用_数字货币购买

Vv9zIuPsw5MjNFKsNSM7mhMFNTMtPtsB5yrLFXIv.pngUbhWeb3.0区块链技术的发展与应用_数字货币购买

这些规则是从攻击者控制的服务器获取的。UbhWeb3.0区块链技术的发展与应用_数字货币购买

规则获取的请求:https[:]//osiris.vip/security?uid=aauyaxxsyd。UbhWeb3.0区块链技术的发展与应用_数字货币购买

警惕伪装成安全工具的恶意扩展:Osiris 浏览器扩展分析UbhWeb3.0区块链技术的发展与应用_数字货币购买

将规则添加到“chrome.declarativeNetRequest.updateDynamicRules”后,目标用户的后续网络请求一旦匹配到规则,就会被替换。UbhWeb3.0区块链技术的发展与应用_数字货币购买

攻击者设置的规则包括:UbhWeb3.0区块链技术的发展与应用_数字货币购买

匹配所有以 .exe、dmg、zip 结尾的 URL;UbhWeb3.0区块链技术的发展与应用_数字货币购买

仅针对网页主框架(地址栏 URL)或子框架(iframe)的请求;UbhWeb3.0区块链技术的发展与应用_数字货币购买

替换成恶意程序的下载链接。UbhWeb3.0区块链技术的发展与应用_数字货币购买

警惕伪装成安全工具的恶意扩展:Osiris 浏览器扩展分析UbhWeb3.0区块链技术的发展与应用_数字货币购买

有关 declarativeNetRequest 的详细介绍可参考:https://developer.chrome.com/docs/extensions/reference/api/declarativeNetRequest。UbhWeb3.0区块链技术的发展与应用_数字货币购买

警惕伪装成安全工具的恶意扩展:Osiris 浏览器扩展分析UbhWeb3.0区块链技术的发展与应用_数字货币购买

当目标用户安装完恶意扩展后,攻击者会引导用户访问某些应用程序官网(如 Notion 官网)下载应用,从而触发下载链接替换陷阱。触发后,尽管浏览器中的下载记录显示的是官方来源,但实际下载的文件已被替换为恶意程序。攻击者巧妙利用了浏览器展示上的漏洞欺骗用户。UbhWeb3.0区块链技术的发展与应用_数字货币购买

警惕伪装成安全工具的恶意扩展:Osiris 浏览器扩展分析UbhWeb3.0区块链技术的发展与应用_数字货币购买

恶意程序分析UbhWeb3.0区块链技术的发展与应用_数字货币购买

以下以 macOS 版本的恶意程序为例进行分析。UbhWeb3.0区块链技术的发展与应用_数字货币购买

恶意程序下载地址(风险提醒:需在隔离环境中进行分析):https[:]//osiris.vip/registrartionusersuccessfully.php?type=dmg。UbhWeb3.0区块链技术的发展与应用_数字货币购买

恶意程序运行后,会引导用户打开终端,并将 Installer 拖到终端中执行。UbhWeb3.0区块链技术的发展与应用_数字货币购买

警惕伪装成安全工具的恶意扩展:Osiris 浏览器扩展分析UbhWeb3.0区块链技术的发展与应用_数字货币购买

实际上,用户执行的是 Installer.kmo 文件。该文件使用 base64 编码隐藏了攻击者的代码意图,同时要求用户输入电脑密码以获取权限,从而读取敏感数据。UbhWeb3.0区块链技术的发展与应用_数字货币购买

警惕伪装成安全工具的恶意扩展:Osiris 浏览器扩展分析UbhWeb3.0区块链技术的发展与应用_数字货币购买

警惕伪装成安全工具的恶意扩展:Osiris 浏览器扩展分析UbhWeb3.0区块链技术的发展与应用_数字货币购买

解码后发现,其通过 bash 运行了一段 AppleScript 脚本,目的是运行 .Installer:UbhWeb3.0区块链技术的发展与应用_数字货币购买

1.查找目标磁盘,通过 AppleScript 列出所有挂载的磁盘,找到名称包含 Installer 的磁盘;UbhWeb3.0区块链技术的发展与应用_数字货币购买

2.复制隐藏安装程序,将该磁盘中的隐藏文件 .Installer 复制到 /tmp 目录,并赋予执行权限;UbhWeb3.0区块链技术的发展与应用_数字货币购买

3.静默执行,直接运行复制的安装程序,过程中通过 try 块抑制错误,无任何验证或用户交互。UbhWeb3.0区块链技术的发展与应用_数字货币购买

警惕伪装成安全工具的恶意扩展:Osiris 浏览器扩展分析UbhWeb3.0区块链技术的发展与应用_数字货币购买

运行 .Installer 后,该程序会打包用户的 Chrome 浏览器数据和 keychain 等重要信息,并上传至 192.124.178.88。攻击者拿到这些数据后,可以尝试解码获取 Web3 钱包的私钥或助记词,从而窃取用户资产,还可以获取 Chrome 中保存的账号密码,进一步接管用户的社交平台账号、加密货币平台账号等。UbhWeb3.0区块链技术的发展与应用_数字货币购买

警惕伪装成安全工具的恶意扩展:Osiris 浏览器扩展分析UbhWeb3.0区块链技术的发展与应用_数字货币购买

警惕伪装成安全工具的恶意扩展:Osiris 浏览器扩展分析UbhWeb3.0区块链技术的发展与应用_数字货币购买

类似攻击手法我们此前已分析过,感兴趣的读者可参阅《眼见不为实|假 Zoom 会议钓鱼分析》。UbhWeb3.0区块链技术的发展与应用_数字货币购买

总结

真正的安全无需过度承诺,伪工具终究难以掩饰杀机。Web3 世界机遇与风险并存,以“安全”为名的解决方案或工具推荐,也可能成为攻击者利用的心理突破口。这类伪装成“安全工具”的扩展程序通过劫持下载链接、植入恶意代码等手段窃取加密资产和用户数据,已导致部分用户蒙受损失。鉴于此,慢雾安全团队提醒广大用户切勿随意安装未知程序或扩展,也不要轻信陌生人的方案或工具推荐。此外,建议用户安装知名杀毒软件,进一步提升端上安全防护能力。UbhWeb3.0区块链技术的发展与应用_数字货币购买