การโจมตีด้วยการเข้ารหัสของ ClickFix อัปเกรด: แฮกเกอร์ปลอมตัวเป็น VC หลอกล่อให้เข้าร่วมประชุม ลักลอบขโมยกระเป๋าเงินผ่านการโจมตีเบราว์เซอร์ QuickLens

เมื่อวันที่ 3 มีนาคม นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยว่าวิธีการโจมตีสกุลเงินดิจิทัลที่เรียกว่า “ClickFix” กําลังทวีความรุนแรงขึ้นอย่างรวดเร็ว เมื่อเร็ว ๆ นี้แฮกเกอร์ได้ติดต่อผู้ใช้เป้าหมายบนแพลตฟอร์มโซเชียลโดยปลอมตัวเป็นบริษัทร่วมทุนและจี้อุปกรณ์ด้วยความช่วยเหลือของส่วนขยายเบราว์เซอร์ที่เป็นอันตรายเพื่อขโมยข้อมูลกระเป๋าเงินเข้ารหัสลับและข้อมูลบัญชี

หน่วยงานความปลอดภัยทางไซเบอร์ Moonlock Lab เผยแพร่รายงานที่ระบุว่าผู้โจมตีสร้างตัวตนของสถาบันการลงทุนปลอมหลายแห่ง รวมถึง SolidBit, MegaBit และ Lumax Capital และส่งคําเชิญไปยังผู้ปฏิบัติงานในอุตสาหกรรมคริปโตผ่าน LinkedIn เพื่อทํางานร่วมกัน เมื่อเหยื่อยอมรับการสื่อสาร แฮกเกอร์จะให้ลิงก์ไปยังการประชุมออนไลน์ที่เรียกว่า ซึ่งมักปลอมตัวเป็น Zoom หรือ Google Meet

เมื่อผู้ใช้คลิกที่ลิงก์เหล่านี้ พวกเขาจะถูกนําไปยังหน้าการยืนยันจําลองที่มีช่องยืนยัน “ฉันไม่ใช่หุ่นยนต์” ที่เหมือน Cloudflare หลังจากคลิก ระบบจะคัดลอกคําสั่งที่เป็นอันตรายไปยังคลิปบอร์ดของผู้ใช้โดยอัตโนมัติ และแจ้งให้วางรหัสยืนยันที่เรียกว่าบนเทอร์มินัลคอมพิวเตอร์ เมื่อดําเนินการคําสั่งแล้ว โปรแกรมที่เป็นอันตรายจะทํางานในอุปกรณ์ ทําให้เกิดการโจมตี ClickFix

Moonlock Lab ชี้ให้เห็นว่าอันตรายของวิธีการโจมตีนี้คือใช้วิศวกรรมสังคมเพื่อชักจูงให้ผู้ใช้รันโค้ดที่เป็นอันตรายอย่างแข็งขัน ซึ่งจะข้ามกลไกการรักษาความปลอดภัยแบบเดิม หากไม่มีการดาวน์โหลดหรือช่องโหว่ที่เป็นอันตรายอย่างชัดเจนระบบรักษาความปลอดภัยจํานวนมากต้องดิ้นรนเพื่อระบุความเสี่ยงในเวลาที่เหมาะสม

การสืบสวนพบว่าบัญชีชื่อ Mykhailo Hureiev ได้ติดต่อกับผู้ใช้หลายคนในฐานะผู้ร่วมก่อตั้ง SolidBit Capital และเชื่อว่าเป็นหนึ่งในผู้ติดต่อหลอกลวงในยุคแรก ๆ อย่างไรก็ตาม นักวิจัยกล่าวว่าแคมเปญการโจมตีมีโครงสร้างแบบแยกส่วนสูง และเมื่อข้อมูลประจําตัวถูกเปิดเผย ผู้โจมตีจะเปลี่ยนเป็นข้อมูลประจําตัวปลอมใหม่อย่างรวดเร็วเพื่อดําเนินการต่อไป

ในขณะเดียวกันแฮกเกอร์ยังใช้ส่วนขยายเบราว์เซอร์ที่ถูกจี้เพื่อขยายขอบเขตการโจมตี John Tuckner ผู้ก่อตั้ง บริษัท รักษาความปลอดภัย Annex Security ตั้งข้อสังเกตในรายงานว่าเมื่อเร็ว ๆ นี้พบว่าส่วนขยายของ Chrome ที่เรียกว่า QuickLens ถูกปลูกด้วยสคริปต์ที่เป็นอันตรายและถูกลบออกจาก App Store เดิมทีปลั๊กอินอนุญาตให้ผู้ใช้ค้นหาด้วย Google Lens ในเบราว์เซอร์ แต่หลังจากเปลี่ยนนักพัฒนาในวันที่ 1 กุมภาพันธ์ เวอร์ชันใหม่ที่มีโค้ดที่เป็นอันตรายก็ถูกปล่อยออกมาภายในสองสัปดาห์

ส่วนขยายนี้มีผู้ใช้ประมาณ 7,000 คน และกําลังใช้เพื่อสแกนอุปกรณ์เพื่อหาข้อมูลกระเป๋าเงินเข้ารหัสลับ วลีเมล็ดพันธุ์ และข้อมูลที่ละเอียดอ่อนอื่นๆ ตามรายงาน สคริปต์ที่เป็นอันตรายยังอ่านเนื้อหาอีเมล Gmail ข้อมูลบัญชี YouTube และข้อมูลการเข้าสู่ระบบหรือการชําระเงินในเว็บฟอร์มได้ด้วย

นักวิจัยด้านความปลอดภัยชี้ให้เห็นว่าการโจมตี ClickFix ยังคงแพร่กระจายอย่างต่อเนื่องตั้งแต่ปี 2024 และส่งผลกระทบต่อหลายภาคส่วน เช่น การผลิต การค้าปลีก สาธารณูปโภค และพลังงาน ในขณะที่ผู้โจมตียังคงเพิ่มประสิทธิภาพกลยุทธ์ทางวิศวกรรมสังคม ความเสี่ยงของการขโมยกระเป๋าเงินที่มุ่งเป้าไปที่ผู้ใช้สินทรัพย์ crypto ก็เพิ่มขึ้นอย่างมากเช่นกัน