文章总结: 恶意GoogleNotes扩展程序通过未签名安装程序分发,伪装成浏览器扩展,在交易过程中监控剪贴板并替换加密货币钱包地址,导致不可逆经济损失。攻击者滥用Chromium信任层,修改浏览器配置文件实现静默加载,并利用区块链智能合约动态解析C2服务器,增加检测难度。建议用户仅从官方商店安装扩展、验证收款地址,并部署端点防护。 综合评分: 87 文章分类: 恶意软件,威胁情报,安全运营,安全意识
恶意 Google Notes 扩展程序会在交易过程中交换加密货币钱包地址
网络安全9527 网络安全9527
安全圈的那点事儿
2026年7月2日 10:57 北京
在小说阅读器读本章
去阅读
技术复杂的攻击活动,通过恶意 Chromium 扩展程序在交易过程中悄悄交换加密货币钱包地址。
该有效载荷通过未签名的安装程序进行分发,在 .NET 和Golang 变体访问中均有发现,它伪装成一个极简的“Google Notes”浏览器扩展。
一旦部署,该扩展程序就会充当剪贴板感知加密剪贴板:它会监控复制和粘贴活动,识别多个区块链上的钱包地址,并在粘贴之前将受害者的地址替换为攻击者控制的地址,从而造成不可逆转的经济损失。
首先,安装程序会滥用 Chromium 的信任层机制。它不会使用官方扩展程序商店,而是会在 Chrome、Edge、Brave 和其他 Chromium 分支浏览器中查找用户配置文件,强制终止浏览器进程,并直接修改安全首选项和首选项文件来注册扩展程序。
为了绕过完整性检查,恶意软件会重新计算并写回类似 MAC/HMAC 的验证字段(super_mac/mac),其值由系统特定的标识符(例如机器 SID)和种子导出。
在旧版本的 Chromium 浏览器中,这使得扩展程序可以静默加载;在更新的浏览器中,攻击者则依靠社会工程学或通过编程方式启用开发者/未打包扩展程序模式来实现持久化。安装程序随后会自行删除,在磁盘上几乎不留下任何痕迹。
其次,该扩展利用了区块链解析的命令与控制(C2)机制。它不使用硬编码的域名,而是查询公共区块链 RPC 端点并调用只读智能合约方法。
恶意 Google Notes 扩展
该合约返回一个编码字符串,扩展程序在运行时对其进行解码,以显示活动的后端域(观察到的示例包括 devops-offensive[.]cc 和 Zebregts[.]com)。
McAfee 发现了一个活跃的浏览器扩展程序活动,该活动旨在通过悄悄替换钱包地址来窃取加密货币。
这种“以太隐藏”方法允许运营商通过更新链上值来轮换基础设施,这使得打击和网络检测变得更加复杂,因为恶意软件没有静态的 C2 指示符。
从技术上讲,该扩展程序授予了对所有 URL、浏览历史记录和剪贴板读/写的过度权限,并将恶意逻辑分散到内容脚本和后台服务工作线程中。
内容脚本监控复制事件,并应用加密货币专用正则表达式来检测比特币、以太坊、比特币现金、瑞波币、达世币和索拉纳的地址。
匹配成功后,该扩展程序会将截获的地址发送到使用嵌入式 API 密钥进行身份验证的攻击者后端;后端会返回一个替换地址,该地址会被写入剪贴板。
McAfee 重建的后端揭示了许多链(BTC、ETH、BCH、XRP、DASH)的确定性一对一映射,而 Solana 提交则简化为单个静态投放地址,这种实现选择在链余额中可见。
行动遥测数据显示,攻击范围遍及全球,在印度有明显的集中区域,这表明攻击目标是加密货币用户,而不是针对特定区域的攻击活动。
利用指向公共区块链节点的 RPC URL 动态解析后端服务器信息,攻击者可以将关键基础设施隐藏在去中心化系统之后。
安装程序将配置 JSON(API 密钥、扩展清单、目标钱包、RPC 端点)嵌入到二进制文件中,并下载压缩的扩展有效负载(google-services[.]cc/base[.]zip),从而确保分阶段部署,而无需外部初始配置获取。
检测和缓解需要多层控制。消费者应仅从官方应用商店安装扩展程序,检查异常权限(例如,备忘录应用不需要剪贴板或所有 URL 访问权限),在汇款前在另一台设备上验证收款人地址的前六个字符和后六个字符,并避免运行来自不可信来源的未签名安装程序。
能够标记恶意下载行为并阻止已知 C2 域的端点和网络保护措施是有效的;McAfee 将此威胁检测为 CryptoStealer.NE,阻止安装程序的下载行为,并阻止与已解析的基础架构的连接。
对于防御者而言,重点在于监控 Chromium 安全首选项文件的篡改、浏览器 MAC 值的异常重建,以及向公共区块链节点发出的异常 RPC 调用,这些调用解析了与 EtherHiding 式 C2 解析相关的不透明合约值指标。
妥协指标(IOC)
| | | | | — | — | — | | 类型 | 类别 | 价值 | | SHA-256 | .NET 安装程序 (BaseZipInstaller) | 2735e12030c195fb5454e4736c51b55b59664b93cae9f4bd5317afcd9c2af0bf 053620962047f50a91c6e8d1a6519eccc41fab51473f033086b4d816abe8bcb0 | | SHA-256 | Golang编译的安装程序变体 | 11be4c47ff049322de41743f62544cafd32d67e24ad653b7ebedf8ebd63e0962 1432393691b415d0cd4680d9cee73e60896fbe63300d9f0355c96e91817e4b1d | | URL | 有效载荷分配 | hxxps://google-services[.]cc/base[.]zip | | 领域 | 命令与控制(通过智能合约解决) | devops-offensive[.]cc Zebregts[.]com | | BTC钱包 | 加密钱包 | 3JvDBvKbS6YYMKjV3R9e9Zfd67f467fNLy 1BbhVBxpniuZuAL1gGZnEMdQhmz9JGWpyT 3AcPNVh7NyESwX3ECymy3rkdH4Ke2c26Tj 1BVTrB47erypG3tevi1U9Fv6BbNUBEiuiX | | Artifact | 侧加载 | Chromium 安全首选项文件(Chrome、Edge、Brave、Opera 配置文件) | | 扩展文件 | manifest.json crypto-patterns.js Interceptor.js content-script.j cache.js domain-resolver.js service-worker.js api-client.js | ed2599d6a8f30d5eaf14ad7f855aece0acdf7efa4a148eb18e4d9f0d8e2cd90c daf82c67e8e5df6bbd5370172ac9374aa7dce48af05496e8ec3dba7b602c619b 6eb2f07265dd95cacd39dfcf0705786b97f3e173cf4e9b3dfe7bad141c9a9dd5 a2ffdbedc5c9f5400a2b1cf5d35f5ec1df06a74d0345f1035bcf75d36ed73e01 eb84ba4a0cd95655a021865d4fec93ae3393f86cc9848810ed0b49035b1c5e2c 6aaba685669d779ef8be8f7f4231096cfafd0ef386f3897c5e2106c177724fc8 2599064901308a97540af29197ed0b38702bbee38d6dbbfa61cf9eb5878353f3 ab450927b37e1b68e2be68832c354ac600e86e2545a904d4ca0ea283f2600cc2 |
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全圈的那点事儿 网络安全9527 网络安全9527《恶意 Google Notes 扩展程序会在交易过程中交换加密货币钱包地址》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论