BlockBeats 消息,5 月 11 日——慢雾团队近日发出安全警告:他们发现一起**专门面向 TRON 钱包用户**的高风险钓鱼事件。
## 仿冒 TronLink 的 Chrome 插件:伪装得“几乎以假乱真”
攻击者制作了一款**仿冒 TronLink 官方钱包**的 Chrome 浏览器插件,并通过多种手段提高伪装逼真度:
– 使用 **Unicode 双向控制字符**
– 结合**西里尔字母**中的视觉相似字符
– 伪造出与正版 TronLink 极为接近的插件名称
从而达到欺骗用户的目的。
## “壳与核分离”:静态审查难以发现
该恶意插件在 Chrome 网上应用店中的展示名称与正版高度相似,且还沿用了真实插件的**高下载量**与**用户好评**,降低普通用户的警惕性。
更关键的是:插件本体代码量非常少,主要功能是——**从远程服务器加载完整钓鱼页面**。这种“**壳与核分离**”的结构,使得常规的静态代码审查很难定位恶意行为。
## 远程钓鱼页面复制真实钱包界面
远程加载的钓鱼页面在视觉效果上与真实 TronLink 网页钱包**几乎完全一致**。它重点诱导用户输入以下关键信息:
– 助记词
– 私钥
– Keystore 文件
– 钱包密码
一旦用户提交,页面会将敏感数据通过 **Telegram 机器人**立刻发送给攻击者。
## 反调试与跳转躲避:进一步增强隐蔽性
此外,该页面还内置了反调试功能,用来阻断用户排查与取证操作,例如:
– 禁止右键菜单
– 禁止开发者工具
– 禁止拖拽操作
– 禁止页面打印
同时,页面会根据用户的**地理位置与语言设置**(尤其是俄语用户)进行跳转,以规避自动化安全扫描。
## 慢雾建议:立即排查与处置
慢雾团队建议用户立刻采取以下措施:
1. **检查并卸载**来历不明的可疑扩展程序
2. 清理浏览器本地存储数据
3. 留意是否存在**异常网络请求**
如果不慎已泄露钱包信息,建议用户:
– **立即创建全新钱包**
– 将所有资产**转移至安全地址**
原创文章,作者:admin,如若转载,请注明出处:https://www.23btc.com/179371/
