Des attaquants ont utilisé une fausse extension TronLink avec des outils de phishing à distance pour voler les identifiants de portefeuille des utilisateurs de TRON.
Les utilisateurs de portefeuilles cryptographiques sont confrontés à une nouvelle menace de phishing après que la société de cybersécurité SlowMist a découvert une fausse extension Chrome TronLink ciblant les détenteurs de TRON. Les attaquants ont utilisé des astuces de spoofing cachées et un clone de portefeuille quasi parfait pour voler des informations sensibles aux victimes. Les chercheurs avertissent que la campagne utilise des méthodes d’évasion avancées, rendant la détection bien plus difficile que les arnaques cryptographiques typiques.
Une fausse extension Chrome TronLink vole les identifiants de portefeuille
La société de cybersécurité SlowMist a découvert une campagne de phishing sophistiquée ciblant les utilisateurs de TronLink. Les attaquants auraient distribué une fausse extension Chrome conçue pour imiter le portefeuille officiel TronLink tout en volant discrètement les identifiants sensibles du portefeuille.
🚨 Threat Intelligence | Analysis of a Fake TronLink Chrome Extension Phishing Campaign 🚨
SlowMist’s MistEye threat monitoring system recently detected a high-risk phishing campaign targeting #TRON wallet users. Attackers created a fake Chrome MV3 extension impersonating… pic.twitter.com/2ygOLsdTtw
— SlowMist (@SlowMist_Team) May 11, 2026
Les chercheurs ont déclaré que la campagne utilisait des méthodes d’obfuscation avancées rarement observées dans les arnaques cryptographiques ordinaires. Au lieu d’intégrer du code malveillant directement dans l’extension, les opérateurs se sont appuyés sur une infrastructure distante et des techniques anti-analyse pour éviter la détection. Les conclusions proviennent du système de surveillance des menaces MistEye de SlowMist.
Selon le rapport, les attaquants ont créé une contrefaçon d’extension Chrome MV3 en utilisant des caractères bidirectionnels Unicode et des homoglyphes cyrilliques pour imiter le nom de la marque TronLink. L’extension frauduleuse a également hérité des statistiques d’utilisateurs et des avis positifs de la liste légitime, rendant la version falsifiée digne de confiance pour les utilisateurs peu méfiants.
SlowMist exhorte les utilisateurs à supprimer les extensions Chrome TronLink suspectes
Les analystes de sécurité ont également constaté que les fichiers locaux de l’extension ne contenaient presque aucune logique malveillante. Au lieu de cela, le code chargeait une interface de phishing distante via un iframe. Cette configuration réduisait les risques que les scanners statiques signalent l’extension lors de l’inspection.
Une fois active, la page de phishing copiait l’interface officielle du portefeuille web TronLink. Les victimes étaient invitées à saisir des phrases mnémoniques, des clés privées, des fichiers de porte-clés et des mots de passe. Les données volées étaient ensuite envoyées instantanément aux attaquants via un canal de bot Telegram.
SlowMist a également identifié plusieurs fonctions anti-forensiques dans le système de phishing. Les fonctionnalités bloquaient les actions de clic droit, désactivaient les outils de développement du navigateur, restreignaient l’activité de glisser-déposer et empêchaient l’impression. Les utilisateurs russophones étaient redirigés ailleurs, probablement pour réduire l’exposition parmi les enquêteurs locaux.
Parallèlement, la société de sécurité a exhorté les utilisateurs à supprimer immédiatement toute extension Chrome suspecte ou inconnue, en particulier celles se présentant comme TronLink. Selon le rapport, les traders qui auraient saisi des identifiants de portefeuille devraient créer un nouveau portefeuille et transférer les fonds vers une nouvelle adresse dès que possible. Conserver des actifs dans un portefeuille compromis pourrait entraîner un vol de fonds.
Laisser un commentaire