Campanha de phishing compromete usuários de criptomoedas
Uma extensão maliciosa do navegador Chrome que se passa pela popular carteira de criptomoedas TronLink foi identificada roubando credenciais sensíveis de carteiras de usuários desavisados. A extensão maliciosa opera silenciosamente em segundo plano, coletando frases mnemônicas, chaves privadas e senhas antes de encaminhar os dados diretamente para atacantes em tempo real.
Engenharia social e disfarce sofisticado
A campanha é mais perigosa do que a maioria porque não parece suspeita à primeira vista. A extensão falsa apareceu na Chrome Web Store com um número de instalações reivindicado de mais de um milhão de usuários e uma classificação de 4,5 estrelas. Muitas vítimas provavelmente a instalaram sem hesitação, acreditando ser uma ferramenta legítima e amplamente utilizada.
Mecanismo de roubo de credenciais
O ataque funciona em duas camadas conectadas projetadas para permanecer ocultas das ferramentas de segurança. A primeira camada é a própria extensão do Chrome, que parece ser um explorador de blockchain inofensivo. A segunda camada é uma página de phishing remota que carrega dentro do popup da extensão e realiza todo o roubo de credenciais.
Táticas de evasão e detecção
Os atacantes construíram várias camadas de proteção em torno de sua página de phishing para obstruir pesquisadores de segurança. A página bloqueia o clique direito, desativa a seleção de texto, intercepta atalhos de ferramentas de desenvolvedor e redireciona bots suspeitos para uma página em branco. Também usa detecção geográfica, redirecionando usuários de língua russa para um domínio separado.
Indicadores de comprometimento e mitigação
Usuários que instalaram esta extensão devem removê-la do Chrome imediatamente e limpar todos os dados de site e armazenamento local vinculados a ela. Se qualquer credencial de carteira foi inserida no popup, essas carteiras devem ser tratadas como totalmente comprometidas. Equipes de segurança devem bloquear o domínio tronfind-api.tronfindexplorer.com em DNS e proxy.
O que os CISOs devem fazer agora
Organizações devem restringir extensões de navegador não aprovadas por meio de políticas de grupo ou controles de gerenciamento de dispositivos. A conscientização dos funcionários sobre a verificação de fontes de extensões e a validação de URLs antes de inserir credenciais é essencial. A monitoração de tráfego de rede para padrões de tráfego dirigidos a domínios maliciosos conhecidos pode ajudar a detectar exposição.