SlowMist 報告稱，針對 TRON 錢包發起了高級網路釣魚攻擊，攻擊手段包括冒充 Chrome 擴充功能和遠端 iframe 載入。

威脅情報公司 慢霧 報告稱，已發現一起針對…的高風險網路釣魚活動 TRON 威脅情報公司 SlowMist 報告稱，他們發現了一項針對 TRON 錢包用戶的高風險網絡釣魚活動，該活動涉及一款惡意 Chrome MV3 擴展程序，旨在冒充 TronLink 錢包品牌。 

根據分析，該攻擊結合了欺騙性品牌、遠端載入的使用者介面和資料外洩機制，採用分層結構，旨在獲取錢包憑證，同時降低審查過程中被發現的可能性。

行動的第一階段圍繞著一款偽裝成合法TRON相關工具的詐騙瀏覽器擴充功能。 SlowMist表示，該擴充功能利用Unicode雙向控製字元和西里爾字母同形字形，使其名稱與官方的TronLink標籤非常相似。雖然程式本身顯示為低權限擴展，但安裝後其行為會改變。當使用者開啟彈出視窗時，該擴充功能會檢查遠端端點，如果可用，則會從外部iframe載入完整的介面，而不是依賴靜態本機頁面。

這個遠端組件構成了攻擊行動的第二階段。釣魚網站高度模仿了TronLink網路錢包的外觀和功能，包括用於匯入助記詞、私鑰和金鑰庫檔案的頁面。 SlowMist指出，該介面會收集諸如恢復短語、私鑰、金鑰庫資料和密碼等敏感訊息，然後透過伺服器端API將其轉發到攻擊者控制的基礎設施。報告顯示，這些數據透過Telegram Bot API即時傳輸。

該擴充功能還會儲存多個本機標記，包括遠端服務是否可存取、iframe 使用的 URL 以及最近的搜尋記錄。 SlowMist 指出，這些資訊會保留在本機儲存中，直到擴充功能被移除。由於可見的彈出視窗內容來自遠端來源，因此無需修改擴充功能套件本身即可變更其惡意行為，這使得靜態分析和傳統的應用程式商店審核流程變得複雜。

TRON釣魚攻擊活動內幕：反分析技術、地理定位與多層攻擊架構

報告指出，該釣魚頁麵包含旨在阻礙調查的額外安全措施。這些措施包括阻止右鍵單擊操作、停用文字選擇、攔截開發者工具捷徑、抑制控制台輸出、阻止拖曳以及阻止列印命令。該頁面還會追蹤訪客行為，並檢查是否應阻止會話，將可疑流量重新導向到空白頁面。 SlowMist 表示，這些控制措施旨在幹擾沙箱測試和自動化檢查。

分析進一步描述了地理過濾邏輯，偵測到使用俄語設定或位於俄羅斯時區的使用者將被重定向到一個單獨的網域。 SlowMist 將此行為解讀為針對特定區域的釣魚處理，或是為了避免引起當地調查人員的注意。主要基礎設施被確定為託管在 Vercel 上的遠端域名，而嵌入程式碼中的其他合法 TRON 生態系統服務則被描述為備用或查詢功能的一部分，而非惡意活動。

SlowMist 將這次攻擊描述為雙層攻擊模型：首先，攻擊者透過欺騙性的瀏覽器擴充功能發動攻擊；其次，攻擊者透過遠端控制的網頁竊取憑證。該公司表示，這種設計表明惡意攻擊者如何將可見的 shell 元件與隱藏的後端行為分離，僅憑常規的靜態檢查難以識別此類攻擊活動。 

發布此警告是為了提醒用戶和安全團隊謹慎對待未經授權的擴展程序，檢查已安裝的瀏覽器插件，並監控與錢包導入工作流程和相關網絡釣魚基礎設施有關的異常流量。