慢霧:TRON用戶需警惕假冒TronLink Chrome擴展程序的釣魚活動
攻擊手法分析
攻擊者創建了假冒TronLink錢包的Chrome擴展程序,利用Unicode雙向控制字符和西裡爾字母同形異義字偽裝品牌名稱。用戶安裝後,該擴展會優先加載遠程iframe作為釣魚頁面,形成“外殼-核心分離”的憑證竊取鏈。
惡意擴展特徵
- 惡意擴展名稱使用同形異義字偽裝,以混淆用戶識別。
- 其Chrome商店頁面繼承真實擴展的高用戶數和好評,顯著降低審查門檻。
- 本地代碼極少,僅加載遠程頁面,使靜態分析幾乎無法檢測惡意行為。
安全響應與告警
在捕獲本次仿冒TronLink的Chrome擴展及其關聯遠程釣魚頁面後,MistEye系統已觸發高危告警並推送至客戶,以及時防範潛在風險。
技術細節
該惡意擴展為Chrome MV3擴展,其包結構偽裝為合法的區塊鏈錢包擴展,意圖誤導用戶安裝並竊取其錢包憑證。
來源:https://www.binance.com/zh-CN/square/post/321312058093361