Главная страница » Индикаторы компрометации
0
2 часа
Индикаторы компрометации

Поддельное расширение Chrome для кошельков TRON крадет сид-фразы и закрытые ключи через удаленные интерфейсы

phishing

Специалисты компании SlowMist, занимающейся кибербезопасностью в сфере Web3, зафиксировали новую волну фишинга, нацеленную на владельцев криптокошельков TRON. Злоумышленники создали вредоносное расширение для браузера Google Chrome, которое маскируется под официальный кошелек TronLink и использует двухуровневую схему кражи учетных данных. В основе атаки лежит необычная техника: само расширение не содержит прямого вредоносного кода, а весь функционал хищения загружается с удаленного сервера.

Описание

Речь идет о подделке бренда с использованием Unicode-символов и кириллических омоглифов. Злоумышленники указали в манифесте расширения название, которое визуально неотличимо от TronLink, но на уровне кода записано с помощью управляющих символов и похожих букв из других алфавитов. Для обычного пользователя в магазине Chrome Web Store значок и имя выглядят как настоящий кошелек, к тому же страница расширения показывает, что его скачали более миллиона человек и он имеет высокий рейтинг. Однако эти цифры не подделаны в самом расширении, а унаследованы вместе с идентификатором магазина. Скорее всего, злоумышленники сначала получили контроль над легитимным расширением с большой базой пользователей, а затем обновили его, заменив название, иконку и описание. Такой прием позволяет использовать накопленное доверие для обмана новых жертв.

Само расширение запрашивает лишь одно разрешение - на локальное хранение данных. При этом в манифесте указан доступ к двум адресам в интернете: один используется для загрузки удаленного интерфейса, второй - для резервных запросов. Такая минималистичная декларация разрешений призвана пройти модерацию магазина расширений.

Техника атаки построена в два слоя. Первый слой - поддельное расширение Chrome, которое после установки при нажатии на значок загружает удаленный интерфейс поверх своего окна. Расширение запрашивает удаленный сервер, и если тот отвечает, то создает "потоковый элемент" (iframe), полностью перекрывающий окно расширения, и направляет его на фишинговую страницу. Если удаленный сервер недоступен, расширение показывает безобидный локальный интерфейс. Отчёт специалистов SlowMist подробно описывает этот механизм: такой подход позволяет менять содержимое всплывающего окна в любой момент без обновления самого расширения, что делает статический анализ пакета расширения бесполезным.

Второй слой атаки - удаленная фишинговая страница, размещенная на платформе Vercel. Это полнофункциональная подделка официального веб-кошелька TronLink Wallet, построенная на базе фреймворка Next.js. Страница визуально полностью копирует настоящий кошелек, и обычному пользователю практически невозможно заметить подмену.

Механизм кражи данных встроен в процесс импорта кошелька. При выборе варианта "Импортировать сид-фразу", "Импортировать закрытый ключ" или "Импортировать файл ключей (keystore)" код страницы упаковывает все введенные данные в формат JSON и отправляет их на сервер злоумышленников. Собранная информация пересылается через API мессенджера Telegram на заранее указанный аккаунт с идентификатором чата 8334454422. При создании нового кошелька сгенерированная сид-фраза также фиксируется и отправляется злоумышленникам. Пароли от ключевых файлов и пароли импорта перехватываются аналогичным образом.

Поддельная страница также собирает данные о посетителях. Она считывает cookie-файлы для идентификации пользователя и проверяет, не является ли он автоматизированной системой анализа. Если срабатывает блокировка, страница перенаправляет на пустую вкладку, не показывая фишинговый интерфейс. Для затруднения ручного анализа страница отключает вызов контекстного меню правой кнопкой мыши, запрещает выделение текста, перехватывает клавиши F12 и сочетания для открытия инструментов разработчика, очищает вывод консоли браузера и запрещает операции печати.

Страница содержит географическую логику перенаправления трафика. Если она определяет, что язык браузера пользователя русский или его часовой пояс относится к России, то автоматически перенаправляет жертву на другой домен. Это может означать, что злоумышленники либо пытаются избежать внимания правоохранительных органов в России, либо используют разные фишинговые сценарии для разных регионов.

Вся атака основана на инфраструктуре домена tronfind-api.tronfindexplorer.com, который служит одновременно точкой загрузки удаленного интерфейса и сервером для сбора украденных данных. Второй домен, trx-scan-explorer.org, используется как точка перенаправления для русскоязычных пользователей.

Атака представляет собой классический пример модели "локальная оболочка плюс удаленное фишинговое наполнение". Расширение само по себе не содержит вредоносного кода и выглядит как простой инструмент для запросов к блокчейну TRON. Весь функционал кражи учетных данных размещен на удаленной странице, которая может менять свое содержимое в любой момент. Удаленная страница дополнительно использует механизмы обхода анализаторов: перенаправление на несуществующие страницы для одних посетителей, блокировку для автоматизированных систем и перенаправление для русскоязычных пользователей.

Владельцам кошельков TRON рекомендуется немедленно проверить установленные расширения Chrome. Единственный официальный идентификатор расширения TronLink - ibnejdfjmmkpcnlpebklmnkoeoihofec. Если установлено другое расширение с похожим названием, его следует немедленно удалить вместе с локальными данными. При вводе сид-фраз, закрытых ключей или паролей в любое подозрительное окно необходимо создать новый кошелек на доверенном устройстве и перевести все средства. Старый кошелек следует считать скомпрометированным. Специалистам по безопасности стоит проверить журналы прокси-серверов и DNS-запросы на наличие обращений к домену tronfind-api.tronfindexplorer.com.

Индикаторы компрометации

Domains

  • tronfind-api.tronfindexplorer.com
  • trx-scan-explorer.org

URLs

  • https://tronfind-api.tronfindexplorer.com/
  • https://tronfind-api.tronfindexplorer.com/api/data/words
  • https://tronfind-api.tronfindexplorer.com/api/visitor/create
  • https://tronfind-api.tronfindexplorer.com/api/visitor/enrich
  • https://tronfind-api.tronfindexplorer.com/api/visitor/sync
  • https://tronfind-api.tronfindexplorer.com/api/visitor/track

MD5

  • ce612d027e631d6633582227eb29002f

SHA1

  • 94d651b42355f2b0765a7435e5a5927623807225

SHA256

  • 0cbf4f21cf157227d2c3fba80b64e1f4c3f9d2cc0bf926e024252c35e93edd5a
  • 6b4a4b64e6f969017cb3a9a71dd3038ddf32b989e5342dbbe36650d5802f2ee4
  • b84b89f0a1b7f00431274ac676104acaaa73d440e5731161d1077e733014cc29

Telegram Chat id

  • 8334454422

Chrome Extension

  • Malicious extension ID: ekjidonhjmneoompmjbjofpjmhklpjdd
  • Malicious extension store page: https://chromewebstore.google.com/detail/ekjidonhjmneoompmjbjofpjmhklpjdd

Комментарии: 0
Похожие записи
0
21.07.2025
Индикаторы компрометации

Злоумышленники атакуют пользователей через поддельные голосовые сообщения под видом Veeam Software

phishing
Киберпреступники разработали новую схему мошенничества, в которой используют безобидные на первый взгляд уведомления о голосовых сообщениях для распространения вредоносного ПО.
0
25.05.2026
Индикаторы компрометации

Поддельные приглашения на мероприятия: новая фишинговая кампания нацелилась на организации в США

phishing
Масштабная фишинговая атака использует фальшивые приглашения на мероприятия для кражи учётных данных электронной почты, перехвата одноразовых паролей и установки легитимных инструментов удалённого управления.
0
21.10.2025
Индикаторы компрометации

Браузерное расширение-обманка: под видом защиты приватности крадут банковские данные

information security
Интернет переполнен мошенническими схемами, которые обычно сулят вознаграждения через вредоносные ссылки или запросы личных данных. Однако специалисты Cofense Phishing Defense Center (PDC) обнаружили нестандартный