SlowMist|2026年05月11日 07:06
威胁情报|对TronLink Chrome扩展程序仿冒活动的分析
SlowMist的MistEye威胁监控系统最近检测到针对TRON钱包用户的高风险网络钓鱼活动。攻击者创建了一个假冒的Chrome MV3扩展程序,冒充@TronLinkWallet,使用Unicode双向控制字符和西里尔字母同形符来欺骗品牌名称。安装后,它通过远程iframe加载一个完整的钓鱼页面,形成一个“壳核分离”的凭证盗窃链。
主要发现:
扩展名使用同形符号进行伪装。其Chrome网上应用商店页面继承了真正的扩展程序的高用户数和正面评论,大大降低了评论门槛。
本地代码极其简单——它只加载远程页面,使得静态分析几乎无法检测恶意。
远程钓鱼页面完美地复制了官方的TronLink Web钱包UI,窃取了助记短语、私钥、Keystore文件和密码,然后通过Telegram Bot实时泄露。
内置的反分析功能(禁用右键单击、DevTools、拖放、打印)和基于地理/语言的重定向,供俄罗斯用户逃避检测。
⚠️ 这不是一个简单的虚假扩展——它采用了远程动态加载和反取证等先进技术,使传统的静态扫描仪极难捕捉到。
️ 立即行动:
•卸载任何可疑的扩展程序(恶意ID:ekjidonhjmneompmjbjfpjmhklpjdd)
•TronLink官方扩展ID:ibnejdfjmmkpcnlebklmnkoeoihofec
•清除本地存储并检查异常流量
•如果输入了凭据,请立即创建新钱包并转移资产
此处提供完整的技术分析+IOC+自检指南
https://medium.com/@slowmist/threat-itelligence对a-fake-tranlink-chrome-expression-phishing campaign-768e8c0e8fb6的分析
分享至:
脈絡
熱門快訊
APP下載
X
Telegram
複製鏈接