ClickFix хакери, що видавали себе за венчурну компанію, атакують користувачів криптовалют, а QuickLens зловмисно перехоплює та викриває їх.

Кібербезпекова компанія Moonlock Lab у понеділок опублікувала звіт, у якому розкрила нові методи атак на криптовалютних користувачів, зосереджені навколо техніки «ClickFix»: шахраї маскуються під фейкові венчурні компанії, такі як SolidBit і MegaBit, щоб контактувати з фахівцями у сфері криптовалют через LinkedIn, пропонуючи можливості співпраці, і зрештою змушують жертв самостійно виконувати шкідливі команди на своїх комп’ютерах для викрадення криптоактивів.

Аналіз техніки атаки ClickFix: перетворити жертву на виконавця атаки

Основна інновація техніки ClickFix полягає у повному руйнуванні традиційних шляхів зараження шкідливим програмним забезпеченням. Процес атаки зазвичай включає такі етапи:

Фаза 1 (соціальна інженерія через LinkedIn): Хакери зв’язуються з цільовими користувачами від імені фейкових венчурних компаній, пропонуючи нібито легітимні можливості для співпраці, створюючи початкову довіру.

Фаза 2 (фальшиве відеопосилання): Ціль перенаправляється на шахрайське посилання, замасковане під Zoom або Google Meet, що веде на імітаційну «сторінку події».

Фаза 3 (викрадення буфера обміну): На сторінці з’являється фальшиве вікно верифікації Cloudflare «Я не робот», і при натисканні шкідливі команди тихо копіюються у буфер обміну користувача.

Фаза 4 (самовиконання): Користувача просять відкрити термінал і вставити «код перевірки», що насправді є командою для атаки.

Дослідницька команда Moonlock Lab зазначила: «Ефективність технології ClickFix полягає в тому, що вона перетворює саму жертву на механізм виконання атаки. Дозволяючи жертві самостійно вставляти та виконувати команду, зловмисник обходить роками створені засоби захисту — без використання вразливостей і без спровокування підозрілої поведінки під час завантаження.»

Деталі інциденту захоплення QuickLens та список шкідливих функцій

Випадок захоплення QuickLens демонструє ще один вектор атаки — ланцюг постачання на вже легітимних користувачах:

1 лютого: Зміна власності розширення QuickLens

Через два тижні: Новий власник випускає оновлення з шкідливими скриптами

23 лютого: Дослідник безпеки Такнер публічно повідомив, що розширення було вилучено з Chrome Web Store

Список шкідливих функцій:

· Пошук і крадіжка даних криптовалютних гаманців і seed-фраз

· Збір вмісту поштової скриньки Gmail користувача

· Крадіжка даних каналів YouTube

· Перехоплення логінів і платіжної інформації, введених у веб-форму

Згідно з доповіддю eSecurity Planet, захоплене розширення одночасно містить модуль атаки ClickFix і інші засоби крадіжки інформації, що свідчить про здатність зловмисників працювати з кількома інструментами у координації.

Ширший контекст загроз ClickFix

Moonlock Lab зазначила, що технологія ClickFix швидко поширилася серед зловмисників з 2025 року, і її головна перевага — використання людської поведінки, а не вразливостей програмного забезпечення, що фундаментально обходить логіку виявлення традиційних засобів безпеки.

У серпні 2025 року відділ кіберзагроз Microsoft попередив, що вони постійно відстежують «щоденні атаки на тисячі підприємств і кінцевих пристроїв по всьому світу». У липні 2025 року компанія Unit42 у своєму звіті підтвердила, що ClickFix вже вплинув на кілька галузей — виробництво, оптову і роздрібну торгівлю, державний і місцевий сектор, енергетичні компанії — і це далеко виходить за межі сфери криптовалют.

Поширені запитання

Чому атаки ClickFix можуть успішно обходити антивірусне та інше захисне програмне забезпечення?

Традиційне антивірусне ПЗ базується на виявленні та блокуванні автоматичного запуску підозрілих файлів. Техніка ClickFix полягає у тому, що «люди» стають виконавцями — жертва сама вводить і виконує команди, а не автоматично імплантується шкідливий код. Це ускладнює ідентифікацію загроз за допомогою поведінкових засобів, оскільки дії виглядають як звичайна поведінка користувача.

Як розпізнати соціальну інженерію типу ClickFix?

Основні ознаки — повідомлення від незнайомих акаунтів у LinkedIn із пропозиціями співпраці, натискання на посилання, що ведуть до фальшивих відеоконференцій, після чого просять ввести «код верифікації» або «крок виправлення», будь-які інструкції щодо відкриття командного рядка і вставки коду, а також фальшиві CAPTCHA або Cloudflare-стиль вікна перевірки. Логіка безпеки полягає в тому, що жоден легітимний сервіс не вимагає від користувача виконувати команду в терміналі для підтвердження.

Які дії слід вжити користувачам QuickLens зараз?

Якщо ви встановили розширення QuickLens, негайно видаліть його з браузера, змініть усі криптовалютні гаманці, які могли бути скомпрометовані (згенеруйте нову seed-фразу і переказуйте кошти на новий гаманець), а також скиньте паролі до Gmail і інших облікових записів. Рекомендується регулярно перевіряти встановлені розширення браузера і бути особливо уважним до тих, що нещодавно змінили власника.