慢雾:揭露浏览器恶意书签如何盗取你的Discord账户

背景

区块链的世界遵循黑暗森林法则,在这个世界我们随时可能遭受到来自不明的外部攻击,作为普通用户不进行作恶,但是了解黑客的作恶的方式是十分必要的。

慢雾安全团队此前发布了区块链黑暗森林自救手册

,其中提到了不少关于针对NFT项目方的Discord进行攻击的手法,为了帮助读者对相关钓鱼方式有更清晰的认知,本文将揭露其中一种钓鱼方法,即通过恶意的书签来盗取项目方Discord账号的Token,用来发布虚假信息等诱导用户访问钓鱼网站,从而盗取用户的数字资产。

钓鱼事件

先来回顾一起Discord钓鱼事件:2022年3月14日,一则推特称NFT项目WizardPass的Discord社区被者入侵,目前已造成BAYC、Doodles、CloneX等NFT被盗,详情如下:

Meta对标推特的社交软件Threads预计将于7月7日上线:金色财经报道,在马斯克对推特用户浏览量施以限制之际,Meta对标推特的社交软件Threads预计将于7月7日(本周五)上线。此外,有分析指出,META在其基于Instagram用户数据开发的Threads有望快速获得用户。[2023/7/4 22:16:40]

牵出其中一个解读:

该解读里说的bookmark就是浏览器书签,这个书签里的内容可以是一段JavaScript恶意代码,当Discord用户点击时,恶意JavaScript代码就会在用户所在的Discord域内执行,盗取DiscordToken,攻击者获得项目方的DiscordToken后就可以直接自动化接管项目方的Discord账户相关权限。

Stepn官方为VC、顾问和团队解锁6120万枚GMT:金色财经报道,据Lookonchain监测数据显示,5小时前,@Stepnofficial官方为VC、顾问和团队解锁了6120万枚GMT(价值约2060万美元)。数据监测到,有5个收到解锁代币的地址把GMT转移到Binance,总计967万枚GMT(价值约325万美元)。[2023/3/9 12:51:58]

背景知识

要理解该事件需要读者有一定的背景知识,现在的浏览器都有自带的书签管理器,在提供便利的同时却也容易被攻击者利用。通过精心构造恶意的钓鱼页面可以让你收藏的书签中插入一段JavaScript代码,当受害者点击书签时会以当前浏览器标签页的域进行执行。

以上图为例,受害者打开了discord

)();">2Hello,World!3</a>

The Sandbox美国CEO:即使处在”加密寒冬”,人们仍涌向Web3:金色财经报道,The Sandbox美国地区 CEO?Mathieu Nouzareth?在?NFT?年度行业盛会NFT.NYC大会中接受采访时表示,即使处在\"加密寒冬\",人们仍涌向 Web3。我们希望成为虚拟世界中的曼哈顿,聚集令人兴奋的品牌和艺术家,但我们的愿景并不是取代现实。Mathieu Nouzareth 在谈到市场崩盘时表示:The Sandbox 并没有切实受到影响,我认为原因是因为我们是一款游戏,游戏受宏观经济环境的影响较小,人们来是因为它真的很有趣,任何人都可以享受它。[2022/6/22 4:43:58]

书签在点击时可以像在开发者工具控制台中的代码一样执行,并且会绕过CSP(ContentSecurityPolicy)策略。

读者可能会有疑问,类似「javascript:()」这样的链接,在添加进入到浏览器书签栏,浏览器竟然会没有任何的提醒?

笔者这里以谷歌和火狐两款浏览器来进行对比。

使用谷歌浏览器,拖拽添加正常的URL链接不会有任何的编辑提醒。

使用谷歌浏览器,拖拽添加恶意链接同样不会有任何的编辑提醒。

使用火狐浏览器如果添加正常链接不会有提醒。

使用火狐浏览器,如果添加恶意链接则会出现一个窗口提醒编辑确认保存。

由此可见在书签添加这方面火狐浏览器的处理安全性更高。

场景演示

演示采用的谷歌浏览器,在用户登录Web端Discord的前提下,假设受害者在钓鱼页面的指引下添加了恶意书签,在DiscordWeb端登录时,点击了该书签,触发恶意代码,受害者的Token等个人信息便会通过攻击者设置好的Discordwebhook发送到攻击者的频道上。

下面是演示受害者点击了钓鱼的书签:

下面是演示攻击者编写的JavaScript代码获取Token等个人信息后,通过DiscordServer的webhook接收到。

笔者补充几点可能会产生疑问的攻击细节:

1.为什么受害者点了一下就获取了?

通过背景知识我们知道,书签可以插入一段JavaScript脚本,有了这个几乎可以做任何事情,包括通过Discord封装好的webpackChunkdiscord_app前端包进行信息获取,但是为了防止作恶的发生,详细的攻击代码笔者不会给出。

2.为什么攻击者会选择Discordwebhook进行接收?

因为Discordwebhook的格式为

「https://discord.com/api/webhooks/xxxxxx」,直接是Discord的主域名,绕过了同源策略等问题,读者可以自行新建一个Discordwebhook进行测试。

3.拿到了Token又能怎么样?

拿到了Token等同于登录了Discord账号,可以做登录Discord的任何同等操作,比如建立一个Discordwebhook机器人,在频道里发布公告等虚假消息进行钓鱼。

总结

攻击时刻在发生,针对已经遭受到恶意攻击的用户,建议立刻采取如下行动进行补救:

1.立刻重置Discord账号密码。

2.重置密码后重新登录该Discord账号来刷新Token,才能让攻击者拿到的Token失效。

3.删除并更换原有的webhook链接,因为原有的webhook已经泄露。

4.提高安全意识,检查并删除已添加的恶意书签。

作为用户,重要的是要注意任何添加操作和代码都可能是恶意的,Web上会有很多的扩展看起来非常友好和灵活。书签不能阻止网络请求,在用户手动触发执行的那一刻,还是需要保持一颗怀疑的心。

本文到这边就结束了,慢雾安全团队将会揭露更多关于黑暗森林的攻击事件,希望能够帮助到更多加密世界的人。?

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

火币交易所一文简述NFT与元宇宙之间的关系

元宇宙的技术和投资目标是将物理现实与虚拟现实联合起来,创建一个数字空间,在此空间,我们可以聚集在一起,并执行影响我们化身的虚拟世界以及现实和物理世界的行动.

[0:15ms0-1:524ms