フィッシング活動

慢雾は安全警告を発表し、TRONウォレットユーザーを対象とした高リスクのフィッシング活動を発見したと述べています。攻撃者は偽のTronLinkウォレットのChrome拡張機能を作成し、Unicodeの双方向制御文字とキリル文字の同形異義語を利用してブランド名を偽装しました。インストール後、この拡張機能はリモートiframeを通じて完全なフィッシングページを読み込み、「シェル-コア分離」の認証情報窃盗チェーンを形成します。悪意のある拡張機能の名前は同形異義語で偽装されており、そのChromeストアページは本物の拡張機能の高いユーザー数と良い評価を引き継ぎ、審査のハードルを下げています。ローカルコードは非常に少なく、リモートページのみを読み込むため、静的分析では悪意のある行動をほとんど検出できません。リモートフィッシングページは公式のTronLinkウェブウォレットのインターフェースを完璧に再現し、ニーモニックフレーズ、秘密鍵、Keystoreファイル、パスワードを盗み、Telegram Botを通じてリアルタイムで返送します。内蔵の逆分析機能は右クリック、開発者ツール、ドラッグ＆ドロップ、印刷を無効にし、ロシア語ユーザーの地理的および言語設定に基づいてリダイレクトして検出を回避します。SlowMistは疑わしい拡張機能を直ちにアンインストールし、ローカルストレージをクリーンアップし、異常なトラフィックをチェックすることを推奨しています。既に入力した認証情報がある場合は、直ちに新しいウォレットを作成し、資産を移動するべきです。

市場の情報によると、安全プラットフォーム OX Security が発表したところによれば、AI エージェントプロジェクト OpenClaw の開発者が暗号通貨フィッシング活動の標的になっているとのことです。攻撃者は偽の GitHub アカウントを作成し、攻撃者が管理するリポジトリで議題を立て、数十名の開発者に @ を付けて、5000 ドルの CLAW トークン報酬を獲得したと主張し、openclaw.ai とほぼ完全に同じクローンサイトに誘導しています。このフィッシングサイトには「ウォレットを接続」するボタンが追加されており、接続されたウォレットの資産を盗むことを目的としています。悪意のあるコードは、深く難読化された JavaScript ファイルに隠されており、証拠分析を妨げるためにブラウザのローカルストレージデータを消去する「nuke」機能を備えています。また、ウォレットアドレスや取引額などの情報をエンコードして C2 サーバーに送信します。研究者は、盗まれた資金を受け取るために使用される疑いのある暗号ウォレットアドレスを特定しました。関連アカウントは先週作成され、数時間以内に削除されましたが、現在確認された被害者はいません。OpenClaw はその高い注目度から詐欺師の標的となっており、その Discord コミュニティも以前に大量の暗号通貨スパムに直面しています。以前の情報では、OpenClaw の創設者が、OpenClaw の名を騙って送信される暗号通貨詐欺メールに警戒するようにと警告しています。

ChainCatcher のメッセージによると、MistTrack の監視により、Tether は 1100 万 USDT を凍結しました。関連する TRON アドレスは THsPNvWc47swNQp2GmAoH96KtYfSR4bz9F で、フィッシング活動に関連している疑いがあります。さらに、UniswapV2Pair コントラクトアドレス（0x652d...89E）も 44.24 万 USDT が凍結されました。

ChainCatcher のメッセージによると、Scam Sniffer の監視によって、2023 年に暗号ウォレットを対象としたフィッシング活動が約 3 億ドルを盗み、32.4 万人以上の被害者が影響を受けたことが示されています。

ChainCatcher のメッセージ、Binance の CEO である趙長鵬がソーシャルメディアで投稿し、4.87 億件の新しい WhatsApp 電話番号がダークウェブで販売されていることを警告しました。サンプルによると、電話番号は合法であり、フィッシング活動に使用される可能性があります。ユーザーに資金の安全に注意するよう呼びかけています。(出典リンク)