Neppe TronLink extensie steelt walletgegevens van TRON gebruikers
Cybersecuritybedrijf SlowMist waarschuwt voor een nieuwe phishingcampagne die zich richt op gebruikers van de populaire TRON wallet TronLink. Volgens onderzoekers verspreiden aanvallers een neppe Chrome extensie die nauwelijks te onderscheiden is van de echte versie. De malware gebruikt geavanceerde technieken om beveiligingscontroles te omzeilen en gevoelige walletgegevens buit te maken.
TRON is verkrijgbaar bij Bitvavo en Bybit.
Phishing extensie doet zich voor als officiële TronLink wallet
De nep extensie verschijnt in de Chrome Web Store als een legitieme versie van TronLink. Volgens onderzoekers gebruikt de campagne speciale Unicode tekens en Cyrillische letters om de naam vrijwel identiek te maken aan de echte wallet extensie. Daardoor valt het verschil voor veel gebruikers nauwelijks op.
Opvallend is dat de kwaadaardige extensie meelifte op een pagina met bestaande gebruikersreviews en hoge downloadcijfers. Dat verlaagt de drempel voor slachtoffers om de extensie te installeren.
SlowMist meldt dat de lokale code van de extensie bewust minimaal blijft. In plaats van malware direct in de extensie te verwerken, laadt deze een externe phishingpagina via een iframe. Daardoor hebben traditionele scanners moeite om verdachte activiteiten te detecteren.
🚨 Threat Intelligence | Analysis of a Fake TronLink Chrome Extension Phishing Campaign 🚨 SlowMist’s MistEye threat monitoring system recently detected a high-risk phishing campaign targeting #TRON wallet users. Attackers created a fake Chrome MV3 extension impersonating…
Walletgegevens worden direct doorgestuurd via Telegram
De externe phishingpagina kopieert volgens SlowMist vrijwel exact de interface van de officiële TronLink web wallet. Gebruikers die hun herstelzin, private key, wachtwoord of Keystore bestand invoeren, sturen deze gegevens direct naar de aanvallers.
De gestolen data wordt realtime doorgestuurd via een Telegram Bot. Daarmee krijgen cybercriminelen onmiddellijk toegang tot wallets en kunnen ze crypto assets verplaatsen voordat slachtoffers iets merken.
Daarnaast bevat de phishingpagina meerdere beveiligingsmechanismen tegen analyse. Zo schakelt de malware rechtermuisklikken, Developer Tools, drag and drop functies en printopties uit. Ook gebruikt de campagne locatie en taalfilters om Russische gebruikers om te leiden, vermoedelijk om aandacht van lokale onderzoekers te vermijden.
SlowMist roept gebruikers op direct actie te ondernemen
Volgens het onderzoeksrapport van SlowMist gaat het niet om een simpele scam, maar om een technisch geavanceerde aanval die gebruikmaakt van dynamische content en anti forensische technieken.
Daarnaast adviseert het beveiligingsbedrijf om localStorage te wissen, netwerkactiviteit te controleren en direct een nieuwe wallet aan te maken als walletgegevens zijn ingevoerd.
De volledige technische analyse van de phishingcampagne staat gepubliceerd op Medium.
Geen financieel advies. Blockchain Stories biedt uitsluitend educatieve en informatieve content. Crypto assets zijn zeer volatiel en je kunt je volledige inleg verliezen. Doe altijd je eigen onderzoek. Lees onze volledige disclaimer.
Affiliate vermelding. Sommige links op deze site zijn partner/affiliate links. Als je je via zo'n link aanmeldt bij een partner, ontvangen wij mogelijk een commissie, zonder extra kosten voor jou. Dit beïnvloedt nooit onze berichtgeving. Lees onze redactionele richtlijnen.
Meer Scam Nieuws
Meer nieuws ›
