前不久，我在网上无意中看到了一个能“赚钱”的区块链项目。它承诺只要你安装一个指定的浏览器插件，那么你的每笔区块链交易都会给你5%的现金返还。

这听起来太过美好，让我完全不敢相信。

这个项目中的Chrome插件的id为liachincjagnalnmahaioaogkngbmhf（CCB cash）,其显示已有181个用户。当然，这个插件现在已经找不到了。

自然而然，我检查了它的代码——不出所料，“赚钱”是不可能的。

这个恶意插件主要会对以下区块链币种产生影响：BTC、ETH、BCH、BNB、LTC、XRP、ETC。

它会要求什么权限？

第一次安装这个浏览器插件时，它要求对多个域（包括GitHub、Exmo、Coinba se、Binance、HitBtc、LocalBitcoins等）进行读写访问。

它会获取浏览器中所有页面的cookie——这能让它从各种交易所和区块链钱包中窃取你的资产。

它的行为有哪些？

总而言之，它会偷取所有它能接触的所有“秘密”。

例如，如果你正在上Binance网站，它会窃取您的登录信息、2FA代码、CSRF令牌，并尝试自动提现。

让我们看看它到底是怎么做的。

步骤1）窃取登录信息

当你点击“登录”按钮时，恶意插件中的代码就会被激活，它会窃取你的输入电子邮件和密码，并将其存储在本地中，然后发送到攻击者的服务器。这一过程并不会影响正常的登录流程。

步骤2）窃取2FA（双因素认证）代码

除了用户名和密码，它还会将监视用户2FA的输入。一旦用户点击提交，它也会将输入的2FA代码和窃取到的用户名密码一同发送到攻击者的服务器。

如果你已登录，每隔5分钟它就会提示你要输入你的Google 2FA代码，然后发送到攻击者服务器。攻击者通过这种方式不停的对你的帐户进行破解。

步骤3）偷取您的CSRF令牌并退出

如果你在在Binance（交易平台）中跳转到余额页面，它就会从cookie中窃取CSRF令牌，发送到攻击者服务器；接着，它会发出一个POST请求，获取你的余额，再默默退出。

这一过程主要是通过对窃取到的CSRF令牌进行MD5求值，然后再发出一个post/exchange/private/yserAssetTransferBtc请求实现的。最后，它会将获取到的值进行排序，确定提现目标。

如果它发现一个余额大于0.01（BTC）的币种，并且能够提现，它就会自动进入这个币种的提现页面，并自动填写提现请求，然后单击自动提现——它还会通过di v标签编造一个2FA确认弹框来覆盖真实的页面，让你误以为你已登出了帐户，而忽略当前页面已被重定向到其他页面这一现象。

接着，用户会输入他们的2FA代码来“恢复”他们的登录（用户完全不知道刚刚这一操作会让自己的货币转到他人帐户上），用户接着就会收到确认电子邮件。

而这封收到邮件看起来就像常规的“确认邮件”，但是如果他们不检查邮件内容，只点击链接，那么攻击者就得手了。

对于Coinba se网站来说也是如此，也会偶尔会出现2FA输入框，窃取你的cookie和登录信息。

如果你使用这个插件转到“帐户”页面，它会计算您的币种资产（同时将所有资产值发送到其攻击者服务器），并尝试提取。如下图

从上图可以看到，它会重新伪造提取窗口，诱导用户输入错误信息。如果交易涉及100英镑，它留给你3%的“返现”。

这个伪造的窗口可能在你加载帐户页面时随时出现，利用用户的大意，偷偷摸摸的窃取你的钱财。

总而言之，这个插件会窃取你的区块链相关帐户信息，并试图将你的钱财转出。

资金流向何处？

攻击者有以下接受地址：

• BTC — 16EegrNMdZ9Rxku6Za5neEFjMW57wkQr1S

• ETH — 0x03b70dc31abf9cf6c1cf80bfeeb322e8d3dbb4ca

• BCH — 1PCh7w6LdcEv1sWd5wtvkELHcWe5HumUi3

• LTC — LRPChoyN8qLWENjo1dUjk2bESZjE7bQ6sP

• BNB — 0x03B70DC31abF9cF6C1cf80bfEEB322E8D3DBB4ca

• XRP — rGmdGrMjvxt6S3VjF4M78U2YMLPR6XLPSN

• ETC — 0x4F53C9882Ba87d2D7c525dF2aEF2540EFB6e32e5

自从这个恶意插件在2018年12月3日在Chrome商店上架以来，预估总共窃取了23.235502279个BTC。

背后的秘密？

我发现了疑似攻击者服务器和地址，这很有可能这是一个俄罗斯团体发起的攻击。

安装未知的的插件总是很危险，我们必须时刻保证自己的设备在自己的完全控制之下。