A SlowMist relata um ataque avançado de phishing contra a carteira TRON, utilizando a personificação de uma extensão do Chrome e carregamento remoto de iframes.
Em Breve
A SlowMist reportou uma campanha de phishing envolvendo uma carteira TRON, utilizando uma extensão falsa do Chrome e páginas de phishing remotas para roubar credenciais. A campanha conta com ferramentas anti-análise, segmentação geográfica e infraestrutura oculta.
Empresa de inteligência de ameaças slowmist informou que identificou uma campanha de phishing de alto risco direcionada a TRON A empresa de inteligência de ameaças SlowMist relatou ter identificado uma campanha de phishing de alto risco direcionada a usuários da carteira TRON, envolvendo uma extensão maliciosa do Chrome MV3 projetada para se passar pela marca TronLink Wallet.
De acordo com a análise, o ataque combina identidade visual enganosa, interfaces de usuário carregadas remotamente e mecanismos de exfiltração de dados em uma estrutura em camadas, com o objetivo de capturar credenciais de carteiras digitais, reduzindo a probabilidade de detecção durante a revisão.
A primeira etapa da campanha centra-se numa extensão fraudulenta para navegadores que imita uma ferramenta legítima relacionada com a TRON. A SlowMist afirmou que a extensão utiliza caracteres de controlo bidirecionais Unicode e homóglifos cirílicos para que o seu nome se assemelhe ao rótulo oficial do TronLink. Embora o pacote em si se apresente como uma extensão com permissões limitadas, o seu comportamento altera-se após a instalação. Quando o utilizador abre a janela pop-up, a extensão verifica um endpoint remoto e, se disponível, carrega uma interface completa a partir de um iframe externo, em vez de utilizar uma página local estática.
Esse componente remoto constitui a segunda etapa da operação. O site de phishing imita de perto a aparência e a função da carteira web TronLink, incluindo as páginas usadas para importar frases mnemônicas, chaves privadas e arquivos keystore. A SlowMist afirmou que a interface coleta informações confidenciais, como frases de recuperação, chaves privadas, dados keystore e senhas, e as encaminha por meio de APIs do lado do servidor para a infraestrutura controlada pelo atacante. O relatório indicou que os dados são retransmitidos em tempo real por meio da API do bot do Telegram.
A extensão também armazena diversos marcadores locais, incluindo informações sobre se o serviço remoto está acessível, a URL usada para o iframe e registros de pesquisa recentes. A SlowMist observou que esses itens podem permanecer no armazenamento local até que a extensão seja removida. Como o conteúdo do pop-up visível é obtido de uma fonte remota, o comportamento malicioso pode ser alterado sem modificar o próprio pacote da extensão, o que complica a análise estática e os procedimentos convencionais de revisão da loja de aplicativos.
Por dentro da campanha de phishing da TRON: técnicas anti-análise, segmentação geográfica e arquitetura de ataque multicamadas.
De acordo com o relatório, a página de phishing inclui medidas de segurança adicionais destinadas a dificultar a investigação. Essas medidas incluem o bloqueio de ações com o botão direito do mouse, a desativação da seleção de texto, a interceptação de atalhos de ferramentas de desenvolvedor, a supressão da saída do console, a prevenção de arrastar e soltar e o bloqueio de comandos de impressão. A página também rastreia o comportamento do visitante e verifica se uma sessão deve ser bloqueada, redirecionando o tráfego suspeito para uma página em branco. A SlowMist afirmou que esses controles visam frustrar os testes em ambiente de sandbox e a inspeção automatizada.
A análise descreveu ainda a lógica de filtragem geográfica, com usuários detectados por configurações de idioma russo ou fusos horários russos sendo redirecionados para um domínio separado. A SlowMist interpretou esse comportamento como tratamento de phishing específico para cada região ou como uma tentativa de evitar a atenção de investigadores locais. A infraestrutura principal foi identificada como um domínio remoto hospedado na Vercel, enquanto outros serviços legítimos do ecossistema TRON incorporados no código foram descritos como parte de funcionalidades de fallback ou consulta, e não como atividades maliciosas.
A SlowMist caracterizou a operação como um modelo de ataque de duas camadas, no qual uma extensão de navegador enganosa atua como o ponto de contato inicial, enquanto uma página da web controlada remotamente realiza o roubo de credenciais. A empresa afirmou que esse design ilustra como agentes maliciosos podem separar componentes visíveis do sistema do comportamento oculto do servidor, tornando a campanha mais difícil de identificar apenas por meio de verificações estáticas de rotina.
O alerta foi emitido como um lembrete para que usuários e equipes de segurança tratem extensões não autorizadas com cautela, revisem os complementos instalados no navegador e monitorem o tráfego incomum relacionado a fluxos de trabalho de importação de carteiras e infraestrutura de phishing associada.
Aviso Legal
Em linha com a Diretrizes do Projeto Trust, observe que as informações fornecidas nesta página não se destinam e não devem ser interpretadas como aconselhamento jurídico, tributário, de investimento, financeiro ou qualquer outra forma. É importante investir apenas o que você pode perder e procurar aconselhamento financeiro independente se tiver alguma dúvida. Para mais informações, sugerimos consultar os termos e condições, bem como as páginas de ajuda e suporte fornecidas pelo emissor ou anunciante. MetaversePost está comprometida com relatórios precisos e imparciais, mas as condições de mercado estão sujeitas a alterações sem aviso prévio.
Sobre o autor
Alisa, jornalista dedicada do MPost, é especializada em criptomoedas, IA, investimentos e no vasto campo de Web3. Com um olhar atento às tendências e tecnologias emergentes, ela oferece uma cobertura abrangente para informar e envolver os leitores no cenário em constante evolução das finanças digitais.
Mais artigos
Alisa, jornalista dedicada do MPost, é especializada em criptomoedas, IA, investimentos e no vasto campo de Web3. Com um olhar atento às tendências e tecnologias emergentes, ela oferece uma cobertura abrangente para informar e envolver os leitores no cenário em constante evolução das finanças digitais.
