作者:耀@慢霧安全團隊
背景
區塊鏈的世界遵循黑暗森林法則,在這個世界我們隨時可能遭受到來自不明的外部攻擊,作為普通用戶不進行作惡,但是了解黑客的作惡的方式是十分必要的。
慢霧安全團隊此前發布了區塊鏈黑暗森林自救手冊,其中提到了不少關于針對NFT項目方的Discord進行攻擊的手法,為了幫助讀者對相關釣魚方式有更清晰的認知,本文將揭露其中一種釣魚方法,即通過惡意的書簽來盜取項目方Discord賬號的Token,用來發布虛假信息等誘導用戶訪問釣魚網站,從而盜取用戶的數字資產。
釣魚事件
先來回顧一起Discord釣魚事件:2022年3月14日,一則推特稱NFT項目WizardPass的Discord社區被詐騙者入侵,目前已造成BAYC、Doodles、CloneX等NFT被盜,詳情如下:
MetaMask:及時更新Chrome瀏覽器、Mac OS與iOS設備:金色財經報道,MetaMask提醒用戶Chrome瀏覽器,Mac OS和iOS設備,保證安全。
此前消息,Chrome瀏覽器發布104.0.5112.101(Mac和Linux)和104.0.5112.102(Windows)版本更新,以修復新的零日漏洞。[2022/8/18 12:33:17]
來源:https://twitter.com/sentinelwtf/status/1496293768542429187
該解讀里說的bookmark就是瀏覽器書簽,這個書簽里的內容可以是一段JavaScript惡意代碼,當Discord用戶點擊時,惡意JavaScript代碼就會在用戶所在的Discord域內執行,盜取DiscordToken,攻擊者獲得項目方的DiscordToken后就可以直接自動化接管項目方的Discord賬戶相關權限。
以太坊L2交易協議路印推出其區塊瀏覽器Loopring V2 Explorer:11月3日消息,以太坊L2交易協議路印(Loopring)宣布推出其區塊瀏覽器LoopringV2Explorer,用戶現在可以查詢LoopringL2區塊數據,以及下載或導出交易數據。[2021/11/3 6:28:57]
背景知識
要理解該事件需要讀者有一定的背景知識,現在的瀏覽器都有自帶的書簽管理器,在提供便利的同時卻也容易被攻擊者利用。通過精心構造惡意的釣魚頁面可以讓你收藏的書簽中插入一段JavaScript代碼,當受害者點擊書簽時會以當前瀏覽器標簽頁的域進行執行。
以上圖為例,受害者打開了discord.com官網,并在這個頁面點擊了之前收藏的惡意的書簽“Hello,World!”從而執行了一個彈窗語句,可以發現執行的源顯示的是discord.com。
隱私瀏覽器Opera加密錢包添加cUSD、cEUR以及CELO支持:隱私瀏覽器Opera宣布其加密錢包添加對Celo Dollar(cUSD)、Celo Euro(cEUR)兩種穩定幣以及CELO代幣的支持。Opera加密貨幣主管Cuautemoc Weber在一封電子郵件中表示:“穩定幣不受市場波動的影響。Opera的目標是讓區塊鏈技術盡可能廣泛且易于訪問。通過我們的內置加密錢包和跨Opera瀏覽器的Web3支持,我們多年來一直遵循這一策略。”(CoinDesk)[2021/6/25 0:06:30]
這里有一個域的概念,瀏覽器是有同源策略等防護策略的,按理不屬于discord.com做出的操作不應該在discord.com域的頁面有響應,但書簽卻繞過了這個限制。
可以預見書簽這么個小功能隱含的安全問題,正常添加書簽的方式會明顯看到書簽網址:
Chrome瀏覽器插件出現假冒Facebook的新型加密蠕蟲:據Cryptovest消息,一家安全公司發現了Chrome瀏覽器的一個惡意擴展程序,利用被感染的瀏覽器訪問數字交易平臺,并通過Facebook Messenger來快速傳播,該惡意程序被命名為FacexWorm。當用戶在該瀏覽器上登陸Facebook上時,該惡意擴展應用會將相關鏈接發送給用戶的Facebook好友,打開鏈接會出現一個偽造的YouTube頁面,要求用戶添加這一擴展應用。一旦被感染,受害者的計算機將被引導至黑客偽造的的數字貨幣平臺頁面,而不是他們嘗試訪問的合法頁面。此外,該病還會嘗試竊取數字貨幣網站和Google帳戶的任何憑據。FacexWorm也會將Coinhive的Monero挖掘腳本插入受害者訪問的每個網站,來幫助他們進行挖礦。[2018/5/2]
稍微有安全意識的讀者應該會直接看到網址信息明顯存在問題。
當然如果是一個構造好誘導你拖拽收藏到書簽欄到頁面呢?可以看到Twitter鏈接中的演示視頻就是構造了這么個誘導頁面:「Dragthistoyourbookmarked」。
也就是拖著某個鏈接即可添加到書簽欄,只要釣魚劇本寫得足夠真實,就很容易讓安全意識不足的用戶中招。
要實現拖拽即可添加到書簽欄只需要構造一個a標簽,下面是示例代碼:
Hello,World!
書簽在點擊時可以像在開發者工具控制臺中的代碼一樣執行,并且會繞過CSP策略。
讀者可能會有疑問,類似「javascript:()」這樣的鏈接,在添加進入到瀏覽器書簽欄,瀏覽器竟然會沒有任何的提醒?
筆者這里以谷歌和火狐兩款瀏覽器來進行對比。
使用谷歌瀏覽器,拖拽添加正常的URL鏈接不會有任何的編輯提醒。
使用谷歌瀏覽器,拖拽添加惡意鏈接同樣不會有任何的編輯提醒。
使用火狐瀏覽器如果添加正常鏈接不會有提醒。
使用火狐瀏覽器,如果添加惡意鏈接則會出現一個窗口提醒編輯確認保存。
由此可見在書簽添加這方面火狐瀏覽器的處理安全性更高。
場景演示
演示采用的谷歌瀏覽器,在用戶登錄Web端Discord的前提下,假設受害者在釣魚頁面的指引下添加了惡意書簽,在DiscordWeb端登錄時,點擊了該書簽,觸發惡意代碼,受害者的Token等個人信息便會通過攻擊者設置好的Discordwebhook發送到攻擊者的頻道上。
下面是演示受害者點擊了釣魚的書簽:
下面是演示攻擊者編寫的JavaScript代碼獲取Token等個人信息后,通過DiscordServer的webhook接收到。
筆者補充幾點可能會產生疑問的攻擊細節:
1.為什么受害者點了一下就獲取了?
通過背景知識我們知道,書簽可以插入一段JavaScript腳本,有了這個幾乎可以做任何事情,包括通過Discord封裝好的webpackChunkdiscord_app前端包進行信息獲取,但是為了防止作惡的發生,詳細的攻擊代碼筆者不會給出。
2.為什么攻擊者會選擇Discordwebhook進行接收?
因為Discordwebhook的格式為
“https://discord.com/api/webhooks/xxxxxx”,直接是Discord的主域名,繞過了同源策略等問題,讀者可以自行新建一個Discordwebhook進行測試。
3.拿到了Token又能怎么樣?
拿到了Token等同于登錄了Discord賬號,可以做登錄Discord的任何同等操作,比如建立一個Discordwebhook機器人,在頻道里發布公告等虛假消息進行釣魚。
總結
攻擊時刻在發生,針對已經遭受到惡意攻擊的用戶,建議立刻采取如下行動進行補救:
立刻重置Discord賬號密碼。
重置密碼后重新登錄該Discord賬號來刷新Token,才能讓攻擊者拿到的Token失效。
刪除并更換原有的webhook鏈接,因為原有的webhook已經泄露。
提高安全意識,檢查并刪除已添加的惡意書簽。
作為用戶,重要的是要注意任何添加操作和代碼都可能是惡意的,Web上會有很多的擴展看起來非常友好和靈活。書簽不能阻止網絡請求,在用戶手動觸發執行的那一刻,還是需要保持一顆懷疑的心。
Tags:DISCSCORISCDISDisCas VisionSCORCHERBiscuit Farm FinanceSAUDISHIB
一、元宇宙概念風靡全球 上個世紀九十年代被提出的Metaverse“元宇宙”概念,突然在30年后的今天以另外一種形式“復活”,并且在NFT市場迎來了屬于自己的高光時刻.
1900/1/1 0:00:00一名黑客顯然對成功盜竊感到非常興奮,留下了超過100萬美元的智能合約,該合約將被破壞,永久確保加密貨幣永遠無法移動.
1900/1/1 0:00:00本文來自Humanode,原文作者:HumanodeCore,由Odaily星球日報譯者Katie辜編譯.
1900/1/1 0:00:00親愛的ZT用戶: ZT創新板即將上線Kingdoge,並開啟Kingdoge/USDT交易對。具體上線時間如下:充值:已開啟;交易:2022年4月21日20:00; Kingdoge 項目簡介:.
1900/1/1 0:00:00親愛的BIKA用戶: BIKA將于4月8日正式上線熱門合約幣對:SHIB/USDT。感謝您對BIKA的支持! 關于BIKA BiKi將于1月6日15:30上線ZKS并開啟流動性挖礦:據BiKi公.
1900/1/1 0:00:00原文來源:?國盛區塊鏈研究院產業交流中,我們發現元宇宙的概念已初步普及,更多的企業在思考:我們如何依托自身資源參與這場全新的變革?虛實之間,如何布局?本文我們提出“九宮格”框架.
1900/1/1 0:00:00