PANews 5月11日消息,慢霧發布安全預警稱,發現一起針對TRON錢包用戶的高風險釣魚活動。攻擊者創建了假冒TronLink錢包的Chrome擴充程序,利用Unicode雙向控製字元和西里爾字母同形異義字偽裝品牌名稱。安裝後,擴充功能透過遠端iframe載入完整釣魚頁面,形成「外殼-核心分離」的憑證竊取鏈。
惡意擴展名稱使用同形異義字偽裝,其Chrome商店頁面繼承真實擴展的高用戶數和好評,降低了審查門檻。本地程式碼極少,僅載入遠端頁面,使靜態分析幾乎無法偵測惡意行為。遠端釣魚頁面完美復刻官方TronLink網頁錢包介面,竊取助記詞、私鑰、Keystore檔案和密碼,並透過Telegram Bot即時回傳。內建反分析功能可停用右鍵、開發者工具、拖放和列印,並根據俄語用戶的地理和語言設定重定向以規避檢測。 SlowMist建議立即卸載可疑擴展,並清理本地儲存、檢查異常流量,如已輸入憑證應立即建立新錢包並轉移資產。
