SlowMist предупреждает о фишинговой атаке через поддельное расширение TronLink для Chrome

Криптовалютная компания по безопасности SlowMist выпустила уведомление о безопасности, предупреждающее о фишинговой атаке высокого риска, нацеленной на пользователей кошельков TRON (TRX), говорится в пресс-релизе компании. Злоумышленники создали вредоносное расширение для Chrome, которое имитирует официальный кошелёк TronLink, используя продвинутые техники подмены, чтобы обмануть пользователей при установке. Фальшивое расширение крадёт учётные данные кошелька и передаёт их злоумышленникам в режиме реального времени.

Метод атаки

Вредоносное расширение использует символы управления двунаправленного текста Unicode и похожие буквы кириллицы, чтобы подменить название расширения так, что оно становится почти идентичным легитимному расширению TronLink. Фальшивое расширение размещено в Chrome Web Store и использует высокие показатели загрузок и положительные отзывы официальной версии, чтобы казаться доверенным для обычных пользователей, из-за чего обнаружение становится крайне сложным.

Цепочка атаки

После установки вредоносное расширение загружает фишинговую страницу через удалённый сервер. Эта страница в точности повторяет официальный веб-интерфейс кошелька TronLink. Когда жертвы входят в свой кошелёк TRON через фальшивый интерфейс, расширение захватывает их приватные ключи, файлы keystore и пароли. Скопированная информация в режиме реального времени передаётся злоумышленникам через Telegram-бот, завершая цепочку кражи учётных данных.

Рекомендуемые действия для пользователей TRON

SlowMist рекомендует следующие меры защиты:

1. Сразу проверьте и удалите из браузера любые подозрительные расширения из неизвестных источников
2. Очистите локальные данные вашего браузера, чтобы удалить любые сохранённые кэшированные учётные данные
3. Следите за необычными сетевыми запросами — они могут указывать на продолжающиеся фишинговые попытки
4. Если данные кошелька были скомпрометированы, немедленно создайте новый кошелёк и переведите все активы на безопасный адрес

Компания по безопасности подчёркивает, что пользователям следует загружать расширения кошельков только из официальных источников и внимательно проверять URL-адреса, прежде чем вводить какие-либо чувствительные данные.