TronLink偽装Chrome拡張機能、暗号資産ウォレット標的

TronLink偽装Chrome拡張機能による認証情報窃取

TronLinkウォレット利用者を標的としたフィッシング活動において、偽のChrome拡張機能を利用した認証情報窃取事例が確認されている。本件はSlowMistのMistEye監視システムによって検出された。

当該拡張機能では、ブランド偽装やリモートコンテンツ読み込み機能を利用し、TronLink関連サービスを装った動作が行われる。攻撃ではUnicode双方向制御文字やキリル文字を利用し、視覚的に類似した名称を用いてChrome Web Storeへ登録されていた。

また、本拡張機能は最小限の権限のみを要求しつつ、外部ドメインとの通信を行う構成となっている。インストール後、ユーザー操作に応じてリモートインターフェースを読み込み、ブロックチェーン関連ツールを装った画面を表示する。

フィッシングページにはNext.jsベースの構成が利用されており、TronLinkウォレット画面を模倣したインターフェースが確認されている。さらに、iframeを利用してフィッシング画面を動的に更新する機能も含まれている。

入力された認証情報やウォレット関連データはTelegramボットを通じて送信される構成となっており、追加されたウォレット情報も取得対象となる。また、右クリック無効化、開発者ツール制御、コンソールログ削除、テキスト選択制限など、分析回避を目的とした挙動も確認されている。

本件は、Chrome拡張機能を利用した暗号資産関連フィッシング事例として、ブランド偽装と外部通信を組み合わせた構成の一例とされる。