PANewsは5月11日、SlowMistがTRONウォレットユーザーを標的とした高リスクのフィッシング攻撃に関するセキュリティ警告を発したと報じた。攻撃者は、Unicode双方向制御文字とキリル文字の同形異義語を用いてブランド名を偽装した、偽のTronLinkウォレットChrome拡張機能を作成した。インストールされると、この拡張機能はiframeを介して完全なフィッシングページをリモートで読み込み、「シェル・コア分離」方式による認証情報窃盗チェーンを形成する。

この悪意のある拡張機能は、同音異義語を使って名前を偽装しており、Chromeストアページは正規の拡張機能の高いユーザーベースと肯定的なレビューを引き継いでいるため、レビューのハードルが低くなっています。ローカルコードは最小限で、リモートページのみを読み込むため、静的解析では悪意のある動作を検出することはほぼ不可能です。リモートのフィッシングページは、公式のTronLinkウェブウォレットのインターフェースを完全に模倣し、ニーモニックフレーズ、秘密鍵、キーストアファイル、パスワードを盗み出し、Telegramボットを介してリアルタイムで送信します。組み込みの解析対策機能により、右クリック、開発者ツール、ドラッグアンドドロップ、印刷が無効になり、ロシア語圏のユーザーの地域と言語設定に基づいてリダイレクトされるため、検出を回避できます。SlowMistは、疑わしい拡張機能を直ちにアンインストールし、ローカルストレージをクリーンアップし、異常なトラフィックを確認し、認証情報が入力されている場合は、直ちに新しいウォレットを作成して資産を転送することを推奨します。