Aanvallers gebruikten een neppe TronLink-extensie met externe phishingtools om wallet-gegevens van TRON-gebruikers te stelen.
Cryptowalletgebruikers worden geconfronteerd met een nieuwe phishingdreiging nadat cybersecuritybedrijf SlowMist een neppe TronLink Chrome-extensie heeft ontdekt die zich richt op TRON-houders. Aanvallers gebruikten verborgen spoofing-trucs en een bijna perfecte wallet-kloon om gevoelige inloggegevens van slachtoffers te stelen. Onderzoekers waarschuwen dat de campagne geavanceerde ontwijkingsmethoden gebruikt, waardoor detectie veel moeilijker is dan bij typische cryptoscams.
Nep TronLink Chrome-extensie steelt wallet-inloggegevens
Cybersecuritybedrijf SlowMist heeft een geavanceerde phishing-campagne ontdekt die zich richt op gebruikers van TronLink. Aanvallers hebben naar verluidt een neppe Chrome-extensie verspreid die de officiële TronLink-wallet nabootst, terwijl stilletjes gevoelige wallet-inloggegevens worden gestolen.
🚨 Threat Intelligence | Analysis of a Fake TronLink Chrome Extension Phishing Campaign 🚨
SlowMist’s MistEye threat monitoring system recently detected a high-risk phishing campaign targeting #TRON wallet users. Attackers created a fake Chrome MV3 extension impersonating… pic.twitter.com/2ygOLsdTtw
— SlowMist (@SlowMist_Team) May 11, 2026
Onderzoekers zeiden dat de campagne geavanceerde verhullingsmethoden gebruikte die zelden worden gezien in gewone cryptoscams. In plaats van kwaadaardige code direct in de extensie in te bedden, vertrouwden de operators op externe infrastructuur en anti-analysetechnieken om detectie te vermijden. De bevindingen kwamen van het MistEye-bedreigingsmonitoringsysteem van SlowMist.
Volgens het rapport maakten aanvallers een nagemaakte Chrome MV3-extensie met Unicode bidirectionele tekens en Cyrillische homoglyfen om de merknaam TronLink na te bootsen. De frauduleuze extensie erfde ook gebruikersstatistieken en positieve beoordelingen van de legitieme vermelding, waardoor de neppe versie betrouwbaar leek voor nietsvermoedende gebruikers.
SlowMist dringt er bij gebruikers op aan verdachte TronLink Chrome-extensies te verwijderen
Beveiligingsanalisten ontdekten ook dat de lokale bestanden van de extensie bijna geen kwaadaardige logica bevatten. In plaats daarvan laadde de code een externe phishing-interface via een iframe. Die opzet verminderde de kans dat statische scanners de extensie tijdens inspectie zouden markeren.
Eenmaal actief kopieerde de phishingpagina de officiële TronLink webwallet-interface. Slachtoffers werden gevraagd om herstelzinnen, privésleutels, keystore-bestanden en wachtwoorden in te voeren. De gestolen gegevens werden vervolgens onmiddellijk via een Telegram-botkanaal naar de aanvallers gestuurd.
SlowMist identificeerde ook verschillende anti-forensische functies in het phishing-systeem. Functies blokkeerden naar verluidt rechtsklikacties, schakelden browsertools voor ontwikkelaars uit, beperkten slepen-en-neerzetten en voorkwamen afdrukken. Russischtalige gebruikers werden elders omgeleid, waarschijnlijk om de blootstelling aan lokale onderzoekers te verminderen.
Ondertussen drong het beveiligingsbedrijf er bij gebruikers op aan om onmiddellijk verdachte of onbekende Chrome-extensies te verwijderen, vooral extensies die beweren TronLink te zijn. Volgens het rapport moeten handelaren die mogelijk wallet-inloggegevens hebben ingevoerd, zo snel mogelijk een nieuwe wallet aanmaken en fondsen naar een vers adres overmaken. Het aanhouden van activa in een gecompromitteerde wallet kan leiden tot gestolen fondsen.
Geef een reactie