ClickFix криптовалютна атака з ескалацією: хакери маскуються під VC, щоб спонукати до переходу за посиланням на зустріч, захоплюють браузер QuickLens і викрадають гаманці

3 березня дослідники кібербезпеки повідомили, що метод криптовалютної атаки під назвою «ClickFix» швидко набирає обертів. Нещодавно хакери зверталися до цільових користувачів на соціальних платформах, маскуючись під венчурні компанії та захоплюючи пристрої за допомогою шкідливих розширень браузера, щоб викрасти дані криптогаманців і інформацію про рахунок.

Агентство з кібербезпеки Moonlock Lab опублікувало звіт, у якому йдеться, що зловмисники створили кілька фейкових ідентифікаторів інвестиційних установ, зокрема SolidBit, MegaBit і Lumax Capital, і надіслали запрошення практикам криптоіндустрії через LinkedIn до співпраці. Після того, як жертва приймає повідомлення, хакери надають посилання на так звану онлайн-зустріч, часто замасковану під Zoom або Google Meet.

Коли користувачі натискають на ці посилання, вони потрапляють на симульовану сторінку верифікації з полем перевірки на кшталт Cloudflare: «Я не робот». Після натискання система автоматично скопіює шкідливу команду у буфер обміну користувача і запропонує вставити так званий код верифікації на термінал комп’ютера. Після виконання команди шкідлива програма запускається на пристрої, запускаючи атаку ClickFix.

Moonlock Lab зазначає, що небезпека цього методу атаки полягає в тому, що він використовує соціальну інженерію, щоб спонукати користувачів активно виконувати шкідливий код, обходячи традиційні механізми безпеки. Без очевидних шкідливих завантажень чи експлойтів багато систем безпеки мають труднощі з вчасним виявленням ризиків.

Розслідування виявило, що акаунт на ім’я Михайло Гурієв контактував із кількома користувачами як співзасновник SolidBit Capital і, ймовірно, був одним із перших шахрайських контактів. Однак дослідники зазначили, що кампанія атаки має дуже модульну структуру, і як тільки ідентифікація буде розкрита, нападник швидко змінює нову фейкову особистість для продовження роботи.

Водночас хакери також використовують захоплені розширення браузера, щоб розширити масштаби своїх атак. Джон Такнер, засновник компанії з безпеки Annex Security, зазначив у звіті, що нещодавно було виявлено розширення для Chrome під назвою QuickLens, встановлене шкідливими скриптами та видалене з магазину додатків. Плагін спочатку дозволяв користувачам шукати через Google Lens у браузері, але після зміни розробника 1 лютого протягом двох тижнів була випущена нова версія з шкідливим кодом.

Розширення має близько 7 000 користувачів і використовується для сканування пристроїв на наявність даних криптогаманця, початкових фраз та іншої чутливої інформації, згідно зі звітом. Шкідливі скрипти також можуть читати вміст електронної пошти Gmail, дані облікового запису YouTube, а також інформацію про вхід або платіжні дані у веб-формах.

Дослідники безпеки зазначили, що атаки ClickFix продовжують поширюватися з 2024 року і вплинули на багато секторів, таких як виробництво, роздрібна торгівля, комунальні послуги та енергетика. Оскільки зловмисники продовжують оптимізувати свої тактики соціального інженерії, ризик крадіжки гаманця на користувачів криптоактивів також значно зростає.