Das Cybersicherheitsunternehmen SlowMist warnt vor einer neuen Phishing-Kampagne, die sich gegen Nutzer der beliebten TRON-Wallet TronLink richtet. Laut den Forschern verbreiten Angreifer eine gefälschte Chrome-Erweiterung, die kaum von der echten Version zu unterscheiden ist. Die Malware nutzt fortschrittliche Techniken, um Sicherheitskontrollen zu umgehen und sensible Wallet-Daten zu stehlen.
TRON ist erhältlich bei Bitvavo und Bybit.
Phishing-Erweiterung gibt sich als offizielle TronLink-Wallet aus
Die gefälschte Erweiterung erscheint im Chrome Web Store als legitime Version von TronLink. Laut den Forschern nutzt die Kampagne spezielle Unicode-Zeichen und kyrillische Buchstaben, um den Namen nahezu identisch mit der echten Wallet-Erweiterung erscheinen zu lassen. Dadurch fällt der Unterschied vielen Nutzern kaum auf.
Bemerkenswert ist, dass die bösartige Erweiterung auf einer Seite mit bestehenden Nutzerbewertungen und hohen Downloadzahlen auftauchte. Dadurch sinkt die Hemmschwelle für Opfer, die Erweiterung zu installieren.
SlowMist berichtet, dass der lokale Code der Erweiterung bewusst minimal gehalten wird. Anstatt Malware direkt in die Erweiterung einzubauen, lädt diese über ein iframe eine externe Phishing-Seite. Dadurch haben herkömmliche Scanner Schwierigkeiten, verdächtige Aktivitäten zu erkennen.
Wallet-Daten werden direkt über Telegram weitergeleitet
Die externe Phishing-Seite kopiert laut SlowMist nahezu exakt die Benutzeroberfläche der offiziellen TronLink-Web-Wallet. Nutzer, die ihre Wiederherstellungsphrase, ihren Private Key, ihr Passwort oder ihre Keystore-Datei eingeben, senden diese Daten direkt an die Angreifer.
Die gestohlenen Daten werden in Echtzeit über einen Telegram-Bot weitergeleitet. Dadurch erhalten Cyberkriminelle sofortigen Zugriff auf Wallets und können Kryptowährungs-Assets verschieben, bevor die Opfer etwas bemerken.
Darüber hinaus enthält die Phishing-Seite mehrere Schutzmechanismen gegen Analysen. So deaktiviert die Malware Rechtsklicks, Developer Tools, Drag-and-Drop-Funktionen sowie Druckoptionen. Außerdem nutzt die Kampagne Standort- und Sprachfilter, um russische Nutzer umzuleiten – vermutlich, um die Aufmerksamkeit lokaler Forscher zu vermeiden.
SlowMist fordert Nutzer auf, sofort Maßnahmen zu ergreifen
Laut dem Untersuchungsbericht von SlowMist handelt es sich nicht um einen einfachen Betrug, sondern um einen technisch fortschrittlichen Angriff, der dynamische Inhalte und anti-forensische Techniken verwendet.
Das Sicherheitsunternehmen empfiehlt außerdem, localStorage zu löschen, Netzwerkaktivitäten zu überprüfen und sofort eine neue Wallet zu erstellen, falls Wallet-Daten eingegeben wurden.
Die vollständige technische Analyse der Phishing-Kampagne wurde auf Medium veröffentlicht.
20% Cashback mit der Bybit Card, bis zu 40 $ Bonus und 10% Rabatt auf Gebühren
Bybit EU hat seine Bybit Card in Europa eingeführt, mit der Sie in mehr als 90 Millionen Geschäften mit Krypto bezahlen können, inklusive 10% Cashback. Zur Feier des Launches gibt es eine spezielle Aktion:
- 20% Cashback auf alle Einkäufe bis zu 200 $ mit der Bybit Crypto Card (mehr Informationen und Bedingungen)
- 10% Rabatt auf die Handelsgebühren (30 Tage gültig, sichtbar während der Registrierung)
- Bis zu 40 $ Bonus nach einer Einzahlung von 400 $ (mehr Informationen und Bedingungen)
Alle oben genannten Boni sind diesen Monat gleichzeitig gültig.
Bybit verfügt über eine MiCAR-Lizenz und darf offiziell in Europa unter den neuen Regelungen operieren.
Um den 40-$-Bonus zu erhalten, ist eine Mindesteinzahlung von 400 $ erforderlich. Bei einer Einzahlung von mindestens 100 $ erhalten Sie 20 $ (etwa 18,50 €). Alle Nutzer erhalten den 10% Rabatt auf die Handelsgebühren (gültig für 30 Tage). Das 20% Cashback mit der Bybit Card muss vorher aktiviert werden.
Bybit hat weltweit mehr als 70 Millionen Nutzer und über 2 Millionen Bybit-Card-Nutzer. Registrieren Sie ein Konto über den untenstehenden Button und profitieren Sie vom Willkommensbonus. Die Bedingungen finden Sie auf der Aktionsseite.