Mànwù: Pengguna TRON berhati-hatilah terhadap serangan phishing yang meniru plugin TronLink

BlockBeats berita, 11 Mei, tim Slow Fog mengeluarkan peringatan baru-baru ini, menemukan sebuah insiden phishing berisiko tinggi yang secara khusus menargetkan pengguna dompet TRON. Penyerang membuat sebuah plugin Chrome yang meniru dompet resmi TronLink, menggunakan karakter kontrol dua arah Unicode dan karakter yang tampak serupa dari alfabet Sirilik untuk memalsukan nama plugin, sehingga menipu pengguna.

Plugin berbahaya ini menampilkan nama yang sangat mirip dengan versi asli di toko web Chrome, dan juga memanfaatkan jumlah unduhan dan ulasan positif yang tinggi dari plugin asli, sehingga mengurangi kewaspadaan pengguna biasa. Kode inti plugin ini sangat sedikit, hanya bertanggung jawab memuat halaman phishing lengkap dari server jarak jauh, membentuk rantai serangan “cangkang dan inti” yang membuatnya sulit dideteksi melalui pemeriksaan kode statis biasa.

Halaman phishing yang dimuat dari jarak jauh ini secara visual hampir identik dengan halaman dompet web TronLink yang asli, khusus digunakan untuk menipu pengguna agar memasukkan frase pemulihan, kunci pribadi, file Keystore, dan kata sandi dompet. Setelah pengguna mengirimkan informasi ini, data sensitif tersebut langsung dikirim ke penyerang melalui bot Telegram. Selain itu, halaman ini juga dilengkapi fitur anti-debugging, yang melarang menu klik kanan, alat pengembang, seret dan lepas, serta pencetakan halaman, dan akan melakukan pengalihan berdasarkan lokasi geografis dan pengaturan bahasa pengguna (terutama pengguna berbahasa Rusia) untuk menghindari pemindaian keamanan otomatis.

Slow Fog menyarankan pengguna segera memeriksa dan menghapus ekstensi mencurigakan yang tidak dikenal, membersihkan data penyimpanan lokal browser, dan memperhatikan adanya permintaan jaringan yang mencurigakan. Jika informasi dompet telah secara tidak sengaja bocor, segera buat dompet baru dan pindahkan semua aset ke alamat yang aman.