PANews는 5월 11일 SlowMist가 TRON 지갑 사용자를 대상으로 한 고위험 피싱 공격에 대한 보안 경고를 발표했다고 보도했습니다. 공격자들은 유니코드 양방향 제어 문자와 키릴 문자 동형 문자를 사용하여 브랜드 이름을 사칭한 가짜 TronLink 지갑 크롬 확장 프로그램을 만들었습니다. 이 확장 프로그램이 설치되면 iframe을 통해 원격으로 완전한 피싱 페이지를 로드하여 "셸-코어 분리" 방식의 자격 증명 탈취 수법을 사용합니다.

이 악성 확장 프로그램은 동음이의어를 사용하여 이름을 위장하고, 크롬 스토어 페이지에서 정식 확장 프로그램의 높은 사용자 기반과 긍정적인 평가를 그대로 가져와 검토자가 쉽게 탐지할 수 있도록 설계되었습니다. 로컬 코드는 최소한으로 구성되어 원격 페이지만 로드하므로 정적 분석으로는 악성 행위를 거의 감지할 수 없습니다. 원격 피싱 페이지는 공식 TronLink 웹 지갑 인터페이스를 완벽하게 모방하여 니모닉 구문, 개인 키, 키 저장소 파일, 비밀번호를 탈취한 후 텔레그램 봇을 통해 실시간으로 전송합니다. 내장된 분석 방지 기능은 마우스 오른쪽 클릭, 개발자 도구, 드래그 앤 드롭, 인쇄 기능을 비활성화하고, 러시아어 사용자의 지역 및 언어 설정에 따라 리디렉션하여 탐지를 회피합니다. SlowMist는 의심스러운 확장 프로그램을 즉시 제거하고, 로컬 저장소를 정리하고, 비정상적인 트래픽이 있는지 확인하고, 자격 증명이 입력된 경우 즉시 새 지갑을 생성하여 자산을 이체할 것을 권장합니다.