SlowMist cảnh báo tấn công lừa đảo qua tiện ích mở rộng Chrome giả mạo của TronLink

Công ty bảo mật tiền mã hóa SlowMist đã đưa ra cảnh báo an ninh, cảnh báo một cuộc tấn công lừa đảo có rủi ro cao nhắm vào người dùng ví TRON (TRX), theo thông cáo từ công ty. Kẻ tấn công đã tạo một tiện ích mở rộng Chrome độc hại giả mạo ví TronLink chính thức, sử dụng các kỹ thuật giả mạo tinh vi để lừa người dùng cài đặt. Tiện ích giả đánh cắp thông tin đăng nhập ví và truyền chúng cho kẻ tấn công theo thời gian thực.

Phương thức tấn công

Tiện ích mở rộng độc hại sử dụng các ký tự điều khiển hai chiều Unicode và các chữ cái Cyrillic tương tự để giả mạo tên tiện ích, khiến nó gần như giống hệt tiện ích ví TronLink hợp pháp. Tiện ích giả được niêm yết trên Chrome Web Store và tận dụng số lượt tải cao cùng các đánh giá tích cực của phiên bản chính thức để trông đáng tin đối với người dùng thông thường, khiến việc phát hiện trở nên cực kỳ khó khăn.

Chuỗi tấn công

Sau khi được cài đặt, tiện ích mở rộng độc hại sẽ tải lên một trang lừa đảo thông qua máy chủ từ xa. Trang này tái tạo hoàn hảo giao diện ví web TronLink chính thức. Khi nạn nhân đăng nhập ví TRON của họ thông qua giao diện giả, tiện ích sẽ thu thập khóa riêng (private key), tệp keystore và mật khẩu của họ. Thông tin bị đánh cắp được truyền đến kẻ tấn công theo thời gian thực thông qua một bot Telegram, hoàn tất chuỗi đánh cắp thông tin đăng nhập.

Khuyến nghị hành động cho người dùng TRON

SlowMist khuyến nghị các biện pháp bảo vệ sau:

1. Ngay lập tức kiểm tra và gỡ bỏ mọi tiện ích đáng ngờ từ nguồn không rõ khỏi trình duyệt của bạn
2. Xóa dữ liệu bộ nhớ cục bộ của trình duyệt để loại bỏ các thông tin đăng nhập đã được lưu tạm
3. Theo dõi các yêu cầu mạng bất thường có thể cho thấy đang diễn ra hoạt động lừa đảo
4. Nếu thông tin ví đã bị xâm phạm, hãy tạo ngay một ví mới và chuyển toàn bộ tài sản sang một địa chỉ an toàn

Công ty bảo mật nhấn mạnh rằng người dùng chỉ nên tải tiện ích ví từ các nguồn chính thức và kiểm tra kỹ URL trước khi nhập thông tin nhạy cảm.