SlowMist
SlowMist|2026年05月11日 07:06
威胁情报|对TronLink Chrome扩展程序仿冒活动的分析 SlowMist的MistEye威胁监控系统最近检测到针对TRON钱包用户的高风险网络钓鱼活动。攻击者创建了一个假冒的Chrome MV3扩展程序,冒充@TronLinkWallet,使用Unicode双向控制字符和西里尔字母同形符来欺骗品牌名称。安装后,它通过远程iframe加载一个完整的钓鱼页面,形成一个“壳核分离”的凭证盗窃链。 主要发现: 扩展名使用同形符号进行伪装。其Chrome网上应用商店页面继承了真正的扩展程序的高用户数和正面评论,大大降低了评论门槛。 本地代码极其简单——它只加载远程页面,使得静态分析几乎无法检测恶意。 远程钓鱼页面完美地复制了官方的TronLink Web钱包UI,窃取了助记短语、私钥、Keystore文件和密码,然后通过Telegram Bot实时泄露。 内置的反分析功能(禁用右键单击、DevTools、拖放、打印)和基于地理/语言的重定向,供俄罗斯用户逃避检测。 ⚠️ 这不是一个简单的虚假扩展——它采用了远程动态加载和反取证等先进技术,使传统的静态扫描仪极难捕捉到。 ️ 立即行动: •卸载任何可疑的扩展程序(恶意ID:ekjidonhjmneompmjbjfpjmhklpjdd) •TronLink官方扩展ID:ibnejdfjmmkpcnlebklmnkoeoihofec •清除本地存储并检查异常流量 •如果输入了凭据,请立即创建新钱包并转移资产 此处提供完整的技术分析+IOC+自检指南 https://medium.com/@slowmist/threat-itelligence对a-fake-tranlink-chrome-expression-phishing campaign-768e8c0e8fb6的分析
曾提及
分享至:

脉络

热门快讯

APP下载

X

Telegram

Facebook

Reddit

复制链接

热门阅读