Маньву: Пользователи TRON, будьте осторожны с фишинговыми атаками, имитирующими плагин TronLink

BlockBeats Новости, 11 мая, команда SlowMist недавно выпустила предупреждение, обнаружив случай высокорисковой фишинговой атаки, специально нацеленной на пользователей кошельков TRON. Атакующие создали поддельное расширение Chrome, имитирующее официальный кошелек TronLink, используя двунаправленные управляющие символы Unicode и визуально похожие символы из кириллицы для подделки названия расширения, чтобы обмануть пользователей.

Это вредоносное расширение отображается в магазине Chrome Web Store с названием, очень похожим на оригинальное, и использует высокий уровень загрузок и положительные отзывы настоящего расширения, что снижает бдительность обычных пользователей. Код расширения очень мал, он только загружает с удаленного сервера полноценную фишинговую страницу, образуя цепочку атаки «оболочка и ядро», что затрудняет обнаружение вредоносной деятельности при обычном статическом анализе кода.

Фишинговая страница, загружаемая удаленно, визуально почти полностью совпадает с настоящим веб-кошельком TronLink, специально предназначена для обмана пользователей с целью ввода мнемонической фразы, приватных ключей, файла Keystore и пароля кошелька. После отправки эти чувствительные данные немедленно отправляются злоумышленникам через Telegram-бота. Кроме того, страница встроена с функцией против отладки, которая запрещает контекстное меню, инструменты разработчика, перетаскивание и печать страницы, а также перенаправляет пользователей в зависимости от их географического положения и языковых настроек (особенно для русскоязычных пользователей), чтобы избежать автоматизированных систем безопасности.

SlowMist рекомендует пользователям немедленно проверить и удалить подозрительные расширения неизвестного происхождения, очистить локальные данные браузера и следить за необычными сетевыми запросами. Если кошелек был случайно скомпрометирован, необходимо сразу создать новый кошелек и перевести все активы на безопасный адрес.