慢雾：TRON ユーザーは偽の TronLink Chrome 拡張機能によるフィッシング活動に警戒する必要があります

慢雾は安全警告を発表し、TRONウォレットユーザーを対象とした高リスクのフィッシング活動を発見したと述べています。攻撃者は偽のTronLinkウォレットのChrome拡張機能を作成し、Unicodeの双方向制御文字とキリル文字の同形異義語を利用してブランド名を偽装しました。インストール後、この拡張機能はリモートiframeを通じて完全なフィッシングページを読み込み、「シェル-コア分離」の認証情報窃盗チェーンを形成します。

悪意のある拡張機能の名前は同形異義語で偽装されており、そのChromeストアページは本物の拡張機能の高いユーザー数と良い評価を引き継ぎ、審査のハードルを下げています。ローカルコードは非常に少なく、リモートページのみを読み込むため、静的分析では悪意のある行動をほとんど検出できません。リモートフィッシングページは公式のTronLinkウェブウォレットのインターフェースを完璧に再現し、ニーモニックフレーズ、秘密鍵、Keystoreファイル、パスワードを盗み、Telegram Botを通じてリアルタイムで返送します。

内蔵の逆分析機能は右クリック、開発者ツール、ドラッグ＆ドロップ、印刷を無効にし、ロシア語ユーザーの地理的および言語設定に基づいてリダイレクトして検出を回避します。SlowMistは疑わしい拡張機能を直ちにアンインストールし、ローカルストレージをクリーンアップし、異常なトラフィックをチェックすることを推奨しています。既に入力した認証情報がある場合は、直ちに新しいウォレットを作成し、資産を移動するべきです。