以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

DIS:慢霧:揭露瀏覽器惡意書簽如何盜取你的Discord賬戶

Author:

Time:1900/1/1 0:00:00

背景

區塊鏈的世界遵循黑暗森林法則,在這個世界我們隨時可能遭受到來自不明的外部攻擊,作為普通用戶不進行作惡,但是了解黑客的作惡的方式是十分必要的。

慢霧安全團隊此前發布了區塊鏈黑暗森林自救手冊

,其中提到了不少關于針對NFT項目方的Discord進行攻擊的手法,為了幫助讀者對相關釣魚方式有更清晰的認知,本文將揭露其中一種釣魚方法,即通過惡意的書簽來盜取項目方Discord賬號的Token,用來發布虛假信息等誘導用戶訪問釣魚網站,從而盜取用戶的數字資產。

釣魚事件

先來回顧一起Discord釣魚事件:2022年3月14日,一則推特稱NFT項目WizardPass的Discord社區被詐騙者入侵,目前已造成BAYC、Doodles、CloneX等NFT被盜,詳情如下:

ARK基金2022年12月7日至今累計減持936430份灰度GBTC:金色財經報道,ARK基金持倉數據顯示,2022年12月7日至今,ARK基金累計減持936430份灰度GBTC。按當前價計算,價值近1千萬美元。截止周五收盤,GBTC收盤報10.67美元。

值得注意的是,2022年12月7日至今,ARK基金沒有增持一股GBTC。[2023/2/12 12:01:25]

牽出其中一個解讀:

該解讀里說的bookmark就是瀏覽器書簽,這個書簽里的內容可以是一段JavaScript惡意代碼,當Discord用戶點擊時,惡意JavaScript代碼就會在用戶所在的Discord域內執行,盜取DiscordToken,攻擊者獲得項目方的DiscordToken后就可以直接自動化接管項目方的Discord賬戶相關權限。

Polygon zkEVM最后一個測試網現已上線:12月25日消息,Polygon zkEVM發推表示,具有顯著性能升級的最終測試網現已上線,主網即將到來。

自Polygon zkEVM的公共測試網于10月推出以來,已經處理了21,966個txs,生成并驗證了14,930個ZK證明,創建了10,508個錢包地址等。[2022/12/25 22:06:15]

背景知識

要理解該事件需要讀者有一定的背景知識,現在的瀏覽器都有自帶的書簽管理器,在提供便利的同時卻也容易被攻擊者利用。通過精心構造惡意的釣魚頁面可以讓你收藏的書簽中插入一段JavaScript代碼,當受害者點擊書簽時會以當前瀏覽器標簽頁的域進行執行。

以上圖為例,受害者打開了discord

Coinbase:準備進一步削減運營開支:金色財經報道,Coinbase表示準備進一步削減運營開支。[2022/11/4 12:15:33]

)();">2Hello,World!3</a>

書簽在點擊時可以像在開發者工具控制臺中的代碼一樣執行,并且會繞過CSP(ContentSecurityPolicy)策略。

讀者可能會有疑問,類似「javascript:()」這樣的鏈接,在添加進入到瀏覽器書簽欄,瀏覽器竟然會沒有任何的提醒?

筆者這里以谷歌和火狐兩款瀏覽器來進行對比。

使用谷歌瀏覽器,拖拽添加正常的URL鏈接不會有任何的編輯提醒。

Epic Games CEO: 必須阻止蘋果商店對Web2公司征收30%非贏利稅:金色財經報道,蘋果允許在App Store應用程序上買賣NFT的決定并沒有得到Web3支持者的接受。因為蘋果決定對應用內非付費內容的銷售收取30%的標準傭金,而OpenSea對非營利性交易收取2.5%的傭金。

Epic Games首席執行官Tim Sweeney抨擊寫道,該公司正在“扼殺所有無法征稅的非盈利性應用業務,摧毀另一項可能與其定價過高的應用內支付服務相抗衡的新興技術。必須要阻止蘋果這么做。(decrypt)[2022/9/27 22:31:27]

使用谷歌瀏覽器,拖拽添加惡意鏈接同樣不會有任何的編輯提醒。

使用火狐瀏覽器如果添加正常鏈接不會有提醒。

使用火狐瀏覽器,如果添加惡意鏈接則會出現一個窗口提醒編輯確認保存。

由此可見在書簽添加這方面火狐瀏覽器的處理安全性更高。

場景演示

演示采用的谷歌瀏覽器,在用戶登錄Web端Discord的前提下,假設受害者在釣魚頁面的指引下添加了惡意書簽,在DiscordWeb端登錄時,點擊了該書簽,觸發惡意代碼,受害者的Token等個人信息便會通過攻擊者設置好的Discordwebhook發送到攻擊者的頻道上。

下面是演示受害者點擊了釣魚的書簽:

下面是演示攻擊者編寫的JavaScript代碼獲取Token等個人信息后,通過DiscordServer的webhook接收到。

筆者補充幾點可能會產生疑問的攻擊細節:

1.為什么受害者點了一下就獲取了?

通過背景知識我們知道,書簽可以插入一段JavaScript腳本,有了這個幾乎可以做任何事情,包括通過Discord封裝好的webpackChunkdiscord_app前端包進行信息獲取,但是為了防止作惡的發生,詳細的攻擊代碼筆者不會給出。

2.為什么攻擊者會選擇Discordwebhook進行接收?

因為Discordwebhook的格式為

「https://discord.com/api/webhooks/xxxxxx」,直接是Discord的主域名,繞過了同源策略等問題,讀者可以自行新建一個Discordwebhook進行測試。

3.拿到了Token又能怎么樣?

拿到了Token等同于登錄了Discord賬號,可以做登錄Discord的任何同等操作,比如建立一個Discordwebhook機器人,在頻道里發布公告等虛假消息進行釣魚。

總結

攻擊時刻在發生,針對已經遭受到惡意攻擊的用戶,建議立刻采取如下行動進行補救:

1.立刻重置Discord賬號密碼。

2.重置密碼后重新登錄該Discord賬號來刷新Token,才能讓攻擊者拿到的Token失效。

3.刪除并更換原有的webhook鏈接,因為原有的webhook已經泄露。

4.提高安全意識,檢查并刪除已添加的惡意書簽。

作為用戶,重要的是要注意任何添加操作和代碼都可能是惡意的,Web上會有很多的擴展看起來非常友好和靈活。書簽不能阻止網絡請求,在用戶手動觸發執行的那一刻,還是需要保持一顆懷疑的心。

本文到這邊就結束了,慢霧安全團隊將會揭露更多關于黑暗森林的攻擊事件,希望能夠幫助到更多加密世界的人。?

Tags:ORDDISSCORSCOLordTokenSAUDISHIB價格SCORGI價格SCOI幣

以太坊交易
ONG:持續分化的NFT市場:新的金字塔正在形成

撰文:0xCookie 經過一年多的發展,NFT?市場,這個交易量超過500億美元的全新領域,已經有了足夠多的項目樣本.

1900/1/1 0:00:00
STA:Instagram 有可能超越 OpenSea 成為最大的 NFT 市場?

作者:ConnorSephton譯者:深鏈財經Tanker不是危言聳聽,Instagram將輕松超越OpenSea,成為全球最大的NFT市場.

1900/1/1 0:00:00
TEP:頭等倉:全景式解讀“Move to earn”Stepn

概要 Stepn的細分賽道為運動APP與具有Gamefi性質的“Movetoearn”賽道。Stepn是搭建在Solana上第一款結合了區塊鏈代幣激勵的運動APP,通過引入“Movetoearn.

1900/1/1 0:00:00
ULT:五天漲幅超百倍,Cult.DAO何以如此“激進”?

作者:Corn 出品:鴕鳥區塊鏈 說起如今比較受矚目的DAO項目,Cult.DAO一定占據了一席之地.

1900/1/1 0:00:00
AZU:被盜風波帶動AZUKI的上漲新趨勢?

作者:陳一晚風 出品:鴕鳥區塊鏈 近日,AZUKI交易量頻頻上漲,日交易量已多次超過BAYC,并且還吸引了NFT藏家dingaling、加密KOL神魚等很多行業內大V爭相入場.

1900/1/1 0:00:00
AND:以 The Sandbox 為例:解析區塊鏈元宇宙初形態

原標題:元宇宙初形態:游戲、UGC、IP以及經濟系統元宇宙是現實世界的虛擬世界,需要對內容生產、經濟系統、用戶體驗以及實體世界內容等進行大量改造.

1900/1/1 0:00:00
ads