Hackers disfarçados de VC sequestram o plugin QuickLens, usando a tecnologia ClickFix para roubar ativos criptográficos

Notícias do site CoinWorld em 3 de março: hackers estão usando a técnica de ataque “ClickFix” para roubar criptomoedas. Os dois últimos ataques envolvem a falsificação de empresas de risco de investimento e o sequestro de extensões de navegador. A empresa de segurança cibernética Moonlock Lab relatou que os scammers se passam por VC falsos como SolidBit, MegaBit e Lumax Capital, entrando em contato com usuários via LinkedIn para oferecer oportunidades de colaboração, e depois os direcionando para clicar em links falsos do Zoom e Google Meet. Após clicar, os usuários são levados a uma página com uma verificação falsa do Cloudflare “Não sou um robô”; clicar nesta caixa copia comandos maliciosos para a área de transferência e pede ao usuário que abra o terminal para colar um suposto código de verificação, executando assim o ataque. Moonlock Lab destacou que essa técnica faz com que as vítimas executem o mecanismo, contornando as defesas do setor de segurança.

Ao mesmo tempo, hackers também sequestram a extensão Chrome QuickLens para espalhar malware. Essa extensão permite que os usuários usem o Google Lens diretamente no navegador; após a transferência de propriedade, a nova versão contém scripts maliciosos capazes de iniciar ataques ClickFix e roubar informações. Com cerca de 7000 usuários, após o sequestro, ela busca dados de carteiras de criptomoedas, frases de recuperação, além de coletar conteúdo da caixa de entrada do Gmail, dados do canal do YouTube e credenciais de login ou informações de pagamento inseridas em formulários web. A extensão foi removida da Chrome Web Store. A tecnologia ClickFix, popular entre hackers desde o ano passado, força as vítimas a executar cargas maliciosas manualmente, afetando milhares de empresas e diversos setores globalmente.