Cybersecuritybedrijf SlowMist waarschuwt voor een nieuwe phishingcampagne die zich richt op gebruikers van de populaire TRON wallet TronLink. Volgens onderzoekers verspreiden aanvallers een neppe Chrome extensie die nauwelijks te onderscheiden is van de echte versie. De malware gebruikt geavanceerde technieken om beveiligingscontroles te omzeilen en gevoelige walletgegevens buit te maken.
TRON is verkrijgbaar bij Bitvavo en Bybit.
Phishing extensie doet zich voor als officiรซle TronLink wallet
De nep extensie verschijnt in de Chrome Web Store als een legitieme versie van TronLink. Volgens onderzoekers gebruikt de campagne speciale Unicode tekens en Cyrillische letters om de naam vrijwel identiek te maken aan de echte wallet extensie. Daardoor valt het verschil voor veel gebruikers nauwelijks op.
Opvallend is dat de kwaadaardige extensie meelifte op een pagina met bestaande gebruikersreviews en hoge downloadcijfers. Dat verlaagt de drempel voor slachtoffers om de extensie te installeren.
SlowMist meldt dat de lokale code van de extensie bewust minimaal blijft. In plaats van malware direct in de extensie te verwerken, laadt deze een externe phishingpagina via een iframe. Daardoor hebben traditionele scanners moeite om verdachte activiteiten te detecteren.
Walletgegevens worden direct doorgestuurd via Telegram
De externe phishingpagina kopieert volgens SlowMist vrijwel exact de interface van de officiรซle TronLink web wallet. Gebruikers die hun herstelzin, private key, wachtwoord of Keystore bestand invoeren, sturen deze gegevens direct naar de aanvallers.
De gestolen data wordt realtime doorgestuurd via een Telegram Bot. Daarmee krijgen cybercriminelen onmiddellijk toegang tot wallets en kunnen ze crypto assets verplaatsen voordat slachtoffers iets merken.
Daarnaast bevat de phishingpagina meerdere beveiligingsmechanismen tegen analyse. Zo schakelt de malware rechtermuisklikken, Developer Tools, drag and drop functies en printopties uit. Ook gebruikt de campagne locatie en taalfilters om Russische gebruikers om te leiden, vermoedelijk om aandacht van lokale onderzoekers te vermijden.
SlowMist roept gebruikers op direct actie te ondernemen
Volgens het onderzoeksrapport van SlowMist gaat het niet om een simpele scam, maar om een technisch geavanceerde aanval die gebruikmaakt van dynamische content en anti forensische technieken.
Daarnaast adviseert het beveiligingsbedrijf om localStorage te wissen, netwerkactiviteit te controleren en direct een nieuwe wallet aan te maken als walletgegevens zijn ingevoerd.
De volledige technische analyse van de phishingcampagne staat gepubliceerd op Medium.
Wil jij altijd op de hoogte blijven van het laatste crypto nieuws? Volg ons dan gratis op Google Nieuws.
10% cashback met de Bybit Card, tot $40 bonus en 10% korting op fees
Bybit EU heeft haar Bybit Card in Europa gelanceerd, waarmee je bij meer dan 90 miljoen winkels kan betalen met je crypto, inclusief een 10% cashback. Om dit te vieren hebben zij een speciale promotie:
- 10% cashback op al je aankopen tot 150 EUR met de Bybit Crypto Card (meer informatie en voorwaarden)
- 10% korting op de handelskosten (30 dagen geldig, zichtbaar tijdens registratie)
- Tot $40 bonus na storting van $400 (meer informatie en voorwaarden)
Alle bovengenoemde bonussen zijn deze maand tegelijkertijd geldig.
Bybit beschikt over een MiCAR licentie en mag officieel in Europa opereren onder de nieuwe regels.
Om aanspraak te maken op de $40 is een storting van minimaal $400 vereist. Bij een storting van minimaal $100 ontvang je $20 (ongeveer โฌ18,50). Alle gebruikers ontvangen de 10% korting op de handelskosten (geldig voor 30 dagen). De 20% cashback met de Bybit Card moet eerst geactiveerd worden.
Bybit heeft wereldwijd meer dan 70 miljoen gebruikers en meer dan 2 miljoen Bybit Card gebruikers. Registreer een account via onderstaande knop en profiteer van de welkomstbonus. Je vindt de voorwaarden op de actiepagina.