Gumamit ang mga attacker ng pekeng TronLink extension na may remote phishing tools upang nakawin ang wallet credentials mula sa mga gumagamit ng TRON.
Ang mga gumagamit ng crypto wallet ay nahaharap sa isang bagong banta ng phishing matapos matuklasan ng cybersecurity firm na SlowMist ang isang pekeng TronLink Chrome extension na nagta-target sa mga may-ari ng TRON. Gumamit ang mga attacker ng mga nakatagong spoofing tricks at halos perpektong wallet clone upang nakawin ang sensitibong credentials mula sa mga biktima. Nagbabala ang mga mananaliksik na ang kampanya ay gumagamit ng mga advanced evasion methods, na ginagawang mas mahirap ang detection kumpara sa karaniwang crypto scams.
Pekeng TronLink Chrome Extension Nagnanakaw ng Wallet Credentials
Natuklasan ng cybersecurity firm na SlowMist ang isang sopistikadong phishing na kampanya na nagta-target sa mga gumagamit ng TronLink. Iniulat na namahagi ang mga attacker ng isang pekeng Chrome extension na idinisenyo upang gayahin ang opisyal na TronLink wallet habang palihim na ninanakaw ang sensitibong wallet credentials.
🚨 Threat Intelligence | Analysis of a Fake TronLink Chrome Extension Phishing Campaign 🚨
SlowMist’s MistEye threat monitoring system recently detected a high-risk phishing campaign targeting #TRON wallet users. Attackers created a fake Chrome MV3 extension impersonating… pic.twitter.com/2ygOLsdTtw
— SlowMist (@SlowMist_Team) May 11, 2026
Sinabi ng mga mananaliksik na ang kampanya ay gumamit ng mga advanced na obfuscation method na bihirang makita sa ordinaryong crypto scams. Sa halip na direktang ilagay ang malicious code sa loob ng extension, umasa ang mga operator sa remote infrastructure at anti-analysis techniques upang maiwasan ang detection. Ang mga natuklasan ay nagmula sa MistEye threat monitoring system ng SlowMist.
Ayon sa ulat, gumawa ang mga attacker ng isang pekeng Chrome MV3 extension gamit ang Unicode bidirectional characters at Cyrillic homoglyphs upang gayahin ang brand name ng TronLink. Ang mapanlinlang na extension ay nagmana rin ng user statistics at positive reviews mula sa lehitimong listing, na nagpapakita ng pekeng bersyon na mukhang mapagkakatiwalaan sa mga walang kamalay-malay na gumagamit.
Hinihimok ng SlowMist ang mga Gumagamit na Alisin ang Mga Kahina-hinalang TronLink Chrome Extensions
Natuklasan din ng mga security analyst na ang mga local file ng extension ay halos walang malicious logic. Sa halip, ang code ay nag-load ng remote phishing interface sa pamamagitan ng iframe. Ang setup na iyon ay nagbawas ng tsansa na i-flag ng static scanners ang extension sa panahon ng inspeksyon.
Kapag aktibo na, kinopya ng phishing page ang opisyal na TronLink web wallet interface. Hinihimok ang mga biktima na ilagay ang mnemonic phrases, private keys, keystore files, at passwords. Ang ninakaw na data ay agad na ipinadala sa mga attacker sa pamamagitan ng isang Telegram bot channel.
Natukoy din ng SlowMist ang ilang anti-forensics function sa loob ng phishing system. Iniulat na hinadlangan ng mga feature ang right-click actions, dinisable ang browser developer tools, pinaghigpitan ang drag-and-drop activity, at pinigilan ang pag-print. Ang mga gumagamit na nagsasalita ng Russian ay na-redirect sa ibang lugar, marahil upang mabawasan ang exposure sa mga lokal na imbestigador.
Samantala, hinimok ng security firm ang mga gumagamit na alisin kaagad ang anumang kahina-hinala o hindi kilalang Chrome extensions, lalo na ang mga nagpapanggap na TronLink. Ayon sa ulat, ang mga trader na maaaring naglagay ng wallet credentials ay dapat gumawa ng bagong wallet at ilipat ang mga pondo sa isang bagong address sa lalong madaling panahon. Ang pagpapanatili ng mga asset sa isang nakompromisong wallet ay maaaring humantong sa pagnanakaw ng pondo.
Mag-iwan ng Tugon