比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

DISC:慢霧:揭露瀏覽器惡意書簽如何盜取你的Discord賬戶_DIS

Author:

Time:1900/1/1 0:00:00

背景

區塊鏈的世界遵循黑暗森林法則,在這個世界我們隨時可能遭受到來自不明的外部攻擊,作為普通用戶不進行作惡,但是了解黑客的作惡的方式是十分必要的。

慢霧安全團隊此前發布了區塊鏈黑暗森林自救手冊

,其中提到了不少關于針對NFT項目方的Discord進行攻擊的手法,為了幫助讀者對相關釣魚方式有更清晰的認知,本文將揭露其中一種釣魚方法,即通過惡意的書簽來盜取項目方Discord賬號的Token,用來發布虛假信息等誘導用戶訪問釣魚網站,從而盜取用戶的數字資產。

釣魚事件

先來回顧一起Discord釣魚事件:2022年3月14日,一則推特稱NFT項目WizardPass的Discord社區被詐騙者入侵,目前已造成BAYC、Doodles、CloneX等NFT被盜,詳情如下:

匿名錢包將2149萬枚OP分散到21個地址:金色財經報道,據Spot on Chain數據顯示,在過去的一個小時內,一個0xa202開頭的匿名錢包將2149萬枚OP(約2326萬美元)分散到21個錢包地址,其中Wintermute Trading(0xdbf)獲得546萬枚OP(約803萬美元),Coinbase共收到376萬枚OP(約556萬美元)。與此同時,6個新地址共同從Coinbase收到425萬枚OP(約621萬美元),每個地址約70.85萬枚OP(約103萬美元)。[2023/5/31 11:50:10]

牽出其中一個解讀:

該解讀里說的bookmark就是瀏覽器書簽,這個書簽里的內容可以是一段JavaScript惡意代碼,當Discord用戶點擊時,惡意JavaScript代碼就會在用戶所在的Discord域內執行,盜取DiscordToken,攻擊者獲得項目方的DiscordToken后就可以直接自動化接管項目方的Discord賬戶相關權限。

Fundstrat研究主管:仍然看好比特幣,該資產可以作為某些投資者的投資工具:金色財經報道,Fundstrat研究主管Tom Lee在最近的一次采訪中表示,仍然看好比特幣,并認為該資產可以作為某些投資者的合適投資工具。2022 年對于加密貨幣來說確實是糟糕的一年,用“糟糕”來形容是相當輕描淡寫的。從年初因宏觀經濟事件導致的下跌到 Terra 的內爆,除了消滅兩個排名前 10 的加密貨幣外,還引發了多米諾骨牌效應,最終摧毀了無數行業參與者。

11 月,當前巨頭之一FTX及其關聯公司——崩潰時,情況又變得更糟了。現在有傳言質疑數字貨幣集團及其子公司的狀況,其中兩家是陷入困境的加密貨幣貸款機構 Genesis 和 Grayscale,其最大的基金以大幅折扣交易,隧道盡頭的曙光似乎并沒有來。

然而,Fundstrat 的 Tom Lee認為明年應該比今年更好。因此,他的公司對整個行業的整體長期前景保持樂觀。因此,他不相信“加密貨幣已死”的說法,并繼續建議某些尋求平衡投資組合的投資者將資金分配給比特幣[2022/11/28 21:05:55]

背景知識

Cardano正在推出新的隱私區塊鏈Midnight和dust代幣:金色財經報道,Cardano背后的公司IOG正在發布一個名為Midnight的新的以隱私為中心的區塊鏈和一個名為dust的代幣。IOG首席執行官Charles Hoskinson周五在蘇格蘭愛丁堡大學舉行的活動表示,Midnight以零知識證明技術為基礎,是目前圍繞Cardano部署的眾多側鏈之一,并將通過提供零知識證明智能合約超越之前的隱私幣項目,該網絡將努力保護隱私,同時允許監管機構和審計員訪問。[2022/11/19 13:23:51]

要理解該事件需要讀者有一定的背景知識,現在的瀏覽器都有自帶的書簽管理器,在提供便利的同時卻也容易被攻擊者利用。通過精心構造惡意的釣魚頁面可以讓你收藏的書簽中插入一段JavaScript代碼,當受害者點擊書簽時會以當前瀏覽器標簽頁的域進行執行。

以太坊開發平臺Infura已完全支持Arbitrum Goerli測試網:金色財經消息,以太坊開發平臺Infura已完全支持二層擴容方案Arbitrum的Goerli測試網。[2022/8/15 12:25:32]

以上圖為例,受害者打開了discord

)();">2Hello,World!3</a>

書簽在點擊時可以像在開發者工具控制臺中的代碼一樣執行,并且會繞過CSP(ContentSecurityPolicy)策略。

讀者可能會有疑問,類似「javascript:()」這樣的鏈接,在添加進入到瀏覽器書簽欄,瀏覽器竟然會沒有任何的提醒?

筆者這里以谷歌和火狐兩款瀏覽器來進行對比。

使用谷歌瀏覽器,拖拽添加正常的URL鏈接不會有任何的編輯提醒。

使用谷歌瀏覽器,拖拽添加惡意鏈接同樣不會有任何的編輯提醒。

使用火狐瀏覽器如果添加正常鏈接不會有提醒。

使用火狐瀏覽器,如果添加惡意鏈接則會出現一個窗口提醒編輯確認保存。

由此可見在書簽添加這方面火狐瀏覽器的處理安全性更高。

場景演示

演示采用的谷歌瀏覽器,在用戶登錄Web端Discord的前提下,假設受害者在釣魚頁面的指引下添加了惡意書簽,在DiscordWeb端登錄時,點擊了該書簽,觸發惡意代碼,受害者的Token等個人信息便會通過攻擊者設置好的Discordwebhook發送到攻擊者的頻道上。

下面是演示受害者點擊了釣魚的書簽:

下面是演示攻擊者編寫的JavaScript代碼獲取Token等個人信息后,通過DiscordServer的webhook接收到。

筆者補充幾點可能會產生疑問的攻擊細節:

1.為什么受害者點了一下就獲取了?

通過背景知識我們知道,書簽可以插入一段JavaScript腳本,有了這個幾乎可以做任何事情,包括通過Discord封裝好的webpackChunkdiscord_app前端包進行信息獲取,但是為了防止作惡的發生,詳細的攻擊代碼筆者不會給出。

2.為什么攻擊者會選擇Discordwebhook進行接收?

因為Discordwebhook的格式為

「https://discord.com/api/webhooks/xxxxxx」,直接是Discord的主域名,繞過了同源策略等問題,讀者可以自行新建一個Discordwebhook進行測試。

3.拿到了Token又能怎么樣?

拿到了Token等同于登錄了Discord賬號,可以做登錄Discord的任何同等操作,比如建立一個Discordwebhook機器人,在頻道里發布公告等虛假消息進行釣魚。

總結

攻擊時刻在發生,針對已經遭受到惡意攻擊的用戶,建議立刻采取如下行動進行補救:

1.立刻重置Discord賬號密碼。

2.重置密碼后重新登錄該Discord賬號來刷新Token,才能讓攻擊者拿到的Token失效。

3.刪除并更換原有的webhook鏈接,因為原有的webhook已經泄露。

4.提高安全意識,檢查并刪除已添加的惡意書簽。

作為用戶,重要的是要注意任何添加操作和代碼都可能是惡意的,Web上會有很多的擴展看起來非常友好和靈活。書簽不能阻止網絡請求,在用戶手動觸發執行的那一刻,還是需要保持一顆懷疑的心。

本文到這邊就結束了,慢霧安全團隊將會揭露更多關于黑暗森林的攻擊事件,希望能夠幫助到更多加密世界的人。?

Tags:DISCDISSCOORDDisCas VisionBrise ParadiseSCORGILord of Dragons Reward Token

幣安app下載
加密貨幣:縱覽紅杉加密投資版圖:共投資 68 起,布局明顯加速_VAL

撰文:Karen 「下注賽道比下注賽手更重要」,這對紅杉資本和其創始人DonValentine投資風格的精辟總結.

1900/1/1 0:00:00
以太坊:深度解析波卡與以太坊2.0有哪些特別之處?_pizzasmall

自2016年波卡白皮書正式發布,經歷了幾年低調的測試與開發,波卡的核心功能開發以及生態發展都取得了顯著的進展,平行鏈插槽Auction也成為了常態化.

1900/1/1 0:00:00
EFI:觀點:DeFi可以為傳統資產注入新的活力_DEF

在他每月的加密技術專欄中,以色列連續創業者ArielShapira涵蓋了加密、去中心化金融和區塊鏈領域的新興技術,以及它們在塑造21世紀經濟中的作用.

1900/1/1 0:00:00
區塊鏈:除了加密貨幣,區塊鏈還可能為哪些領域帶來范式轉變?_DeFiDrop

原文標題:《區塊鏈的應用》撰文:jamescarnley.eth編譯:Blockunicorn區塊鏈技術通常被視為純粹的貨幣視角,但最大的范式轉變可能會發生在社會的其他方面.

1900/1/1 0:00:00
TIGER:野蠻人加速殺進Crypto,一文了解Tiger Global的風格偏好與生態布局_TIG

原標題|1年投358個項目的「野蠻人」TigerGlobal,正在加速布局Crypto據Crunchbase數據,2021年.

1900/1/1 0:00:00
比特幣:Michael Saylor:金融市場“還沒有為比特幣債券做好準備”_STRYKZ價格

MicroStrategy首席執行官和比特幣多頭MichaelSaylor認為,傳統金融市場還沒有為比特幣支持的債券做好準備.

1900/1/1 0:00:00
ads