느린 안개: TRON 사용자들은 가짜 TronLink Chrome 확장 프로그램의 피싱 활동에 주의해야 합니다

슬로우미스트(SlowMist)는 TRON 지갑 사용자에 대한 고위험 피싱 활동을 발견했다고 안전 경고를 발표했습니다. 공격자는 가짜 TronLink 지갑의 Chrome 확장 프로그램을 만들고, 유니코드 양방향 제어 문자와 키릴 문자 동형 이의어를 이용해 브랜드 이름을 위장했습니다. 설치 후, 이 확장은 원격 iframe을 통해 전체 피싱 페이지를 로드하여 "껍데기-핵심 분리"의 자격 증명 도용 체인을 형성합니다.

악성 확장 이름은 동형 이의어로 위장되어 있으며, Chrome 스토어 페이지는 실제 확장의 높은 사용자 수와 좋은 평가를 상속받아 심사 기준을 낮추었습니다. 로컬 코드는 거의 없고, 원격 페이지만 로드되어 정적 분석으로 악성 행동을 거의 탐지할 수 없습니다. 원격 피싱 페이지는 공식 TronLink 웹 지갑 인터페이스를 완벽하게 복제하여, 니모닉, 개인 키, 키스토어 파일 및 비밀번호를 도용하고, 텔레그램 봇을 통해 실시간으로 전송합니다.

내장된 반 분석 기능은 오른쪽 클릭, 개발자 도구, 드래그 앤 드롭 및 인쇄를 비활성화하며, 러시아어 사용자의 지리적 및 언어 설정에 따라 리디렉션하여 탐지를 회피합니다. 슬로우미스트는 의심스러운 확장을 즉시 제거하고, 로컬 저장소를 정리하며, 비정상적인 트래픽을 점검할 것을 권장합니다. 이미 입력한 자격 증명이 있는 경우 즉시 새 지갑을 생성하고 자산을 이전해야 합니다.