SlowMist poroča o naprednem napadu lažnega predstavljanja denarnice TRON z lažnim predstavljanjem razširitve za Chrome in oddaljenim nalaganjem okvirjev Iframe
Na kratko
SlowMist poroča o kampanji lažnega predstavljanja denarnice TRON, ki uporablja lažno razširitev za Chrome in oddaljene strani za lažno predstavljanje za krajo poverilnic, vključno z orodji za preprečevanje analize, geografskim ciljanjem in skrito infrastrukturo.
Podjetje za obveščanje o grožnjah SlowMist poročal, da je odkril visoko tvegano phishing kampanjo, namenjeno TRON uporabnikov denarnic, ki vključuje zlonamerno razširitev Chrome MV3, zasnovano za poosebljanje blagovne znamke TronLink Wallet. Podjetje za obveščanje o grožnjah SlowMist je poročalo, da je odkrilo visoko tvegano phishing kampanjo, namenjeno uporabnikom denarnice TRON, ki vključuje zlonamerno razširitev Chrome MV3, zasnovano za poosebljanje blagovne znamke TronLink Wallet.
Glede na analizo napad združuje zavajajoče blagovne znamke, oddaljeno naložene uporabniške vmesnike in mehanizme za izkoriščanje podatkov v večplastni strukturi, namenjeni zajemanju poverilnic denarnice, hkrati pa zmanjšuje verjetnost odkritja med pregledom.
Prva faza kampanje se osredotoča na goljufivo razširitev brskalnika, ki posnema legitimno orodje, povezano s TRON-om. SlowMist je povedal, da razširitev uporablja dvosmerne kontrolne znake Unicode in cirilične homoglife, da bi bilo njeno ime podobno uradni oznaki TronLink. Čeprav se paket sam predstavlja kot razširitev z nizkimi dovoljenji, se njegovo vedenje po namestitvi spremeni. Ko uporabnik odpre pojavno okno, razširitev preveri oddaljeno končno točko in, če je na voljo, naloži celoten vmesnik iz zunanjega okvirja iframe, namesto da bi se zanašala na statično lokalno stran.
Ta oddaljena komponenta predstavlja drugo fazo operacije. Spletno mesto za lažno predstavljanje natančno posnema videz in delovanje spletne denarnice TronLink, vključno s stranmi, ki se uporabljajo za uvoz mnemoničnih fraz, zasebnih ključev in datotek shrambe ključev. SlowMist je povedal, da vmesnik zbira občutljive podatke, kot so fraze za obnovitev, zasebni ključi, podatki shrambe ključev in gesla, nato pa jih prek strežniških API-jev posreduje infrastrukturi, ki jo nadzoruje napadalec. Poročilo je pokazalo, da se podatki posredujejo v realnem času prek API-ja Telegram Bot.
Razširitev shranjuje tudi več lokalnih označevalcev, vključno z informacijami o tem, ali je oddaljena storitev dosegljiva, URL-jem, uporabljenim za iframe, in nedavnimi zapisi iskanja. SlowMist je ugotovil, da lahko ti elementi ostanejo v lokalnem pomnilniku, dokler razširitev ni odstranjena. Ker se vidna pojavna vsebina potegne iz oddaljenega vira, je mogoče zlonamerno vedenje spremeniti brez spreminjanja samega paketa razširitve, kar otežuje statično analizo in običajne postopke pregleda trgovin.
V kampanji lažnega predstavljanja TRON: tehnike proti analizi, geografsko ciljanje in večplastna arhitektura napadov
Glede na poročilo stran za lažno predstavljanje vključuje dodatne zaščitne ukrepe, namenjene oviranju preiskave. Ti ukrepi vključujejo blokiranje dejanj z desnim klikom, onemogočanje izbire besedila, prestrezanje bližnjic orodij za razvijalce, preprečevanje izpisa konzole, preprečevanje vlečenja in blokiranje ukazov za tiskanje. Stran spremlja tudi vedenje obiskovalcev in preverja, ali je treba sejo blokirati, ter preusmerja sumljiv promet na prazno stran. SlowMist je dejal, da so ti nadzorni ukrepi namenjeni oviranju testiranja v peskovniku in avtomatiziranega pregleda.
Analiza je nadalje opisala logiko geografskega filtriranja, pri čemer so bili uporabniki, zaznani iz ruskih jezikovnih nastavitev ali ruskih časovnih pasov, preusmerjeni na ločeno domeno. SlowMist je to vedenje interpretiral kot ravnanje z lažnim predstavljanjem, specifično za regijo, ali kot poskus izogibanja pozornosti lokalnih preiskovalcev. Glavna infrastruktura je bila identificirana kot oddaljena domena, ki gostuje na Vercelu, medtem ko so bile druge legitimne storitve ekosistema TRON, vdelane v kodo, opisane kot del rezervne ali poizvedovalne funkcionalnosti in ne kot zlonamerna dejavnost.
SlowMist je operacijo označil kot dvoplastni model napada, pri katerem zavajajoča razširitev brskalnika deluje kot začetna kontaktna točka, medtem ko oddaljeno nadzorovana spletna stran izvede dejansko krajo poverilnic. Podjetje je dejalo, da ta zasnova ponazarja, kako lahko zlonamerni akterji ločijo vidne komponente lupine od skritega delovanja zaledja, zaradi česar je kampanjo težje prepoznati zgolj z rutinskimi statičnimi pregledi.
Opozorilo je bilo izdano kot opomnik uporabnikom in varnostnim ekipam, naj z nepooblaščenimi razširitvami ravnajo previdno, pregledajo nameščene dodatke brskalnika in spremljajo nenavaden promet, povezan z delovnimi procesi uvoza denarnic in s tem povezano infrastrukturo za lažno predstavljanje.
Zavrnitev odgovornosti
V skladu z Smernice projekta Trust, upoštevajte, da informacije na tej strani niso namenjene in se jih ne sme razlagati kot pravni, davčni, naložbeni, finančni ali kakršen koli drug nasvet. Pomembno je, da vlagate samo tisto, kar si lahko privoščite izgubiti, in da poiščete neodvisen finančni nasvet, če imate kakršne koli dvome. Za dodatne informacije predlagamo, da si ogledate določila in pogoje ter strani s pomočjo in podporo, ki jih nudi izdajatelj ali oglaševalec. MetaversePost se zavzema za natančno in nepristransko poročanje, vendar se tržni pogoji lahko spremenijo brez predhodnega obvestila.
O avtorju
Alisa, predana novinarka pri MPost, specializiran za kriptovalute, umetno inteligenco, naložbe in široko področje Web3. Z ostrim očesom za nastajajoče trende in tehnologije zagotavlja celovito pokritost za informiranje in vključevanje bralcev v nenehno razvijajočo se pokrajino digitalnih financ.
več člankov
Alisa, predana novinarka pri MPost, specializiran za kriptovalute, umetno inteligenco, naložbe in široko področje Web3. Z ostrim očesom za nastajajoče trende in tehnologije zagotavlja celovito pokritost za informiranje in vključevanje bralcev v nenehno razvijajočo se pokrajino digitalnih financ.
