قراصنة العملات المشفرة يستغلون ClickFix عبر تواصل مزيف بصناديق رأس المال المخاطر

مجرمو العملات المشفرة يحسّنون تكتيكات الهندسة الاجتماعية لتجاوز أدوات الأمن التقليدية، مستخدمين تواصلًا مزيفًا باسم صناديق رأس المال المخاطر لنشر تقنية تُعرف باسم ClickFix.

يقول الباحثون إن المهاجمين ينتحلون هويات شركات استثمار على LinkedIn، ويغرون المستخدمين بحلقات فيديو احتيالية، ويخدعونهم لتنفيذ أوامر خبيثة على أجهزتهم بأنفسهم.

تتجنب هذه الطريقة تنزيلات البرمجيات الخبيثة التقليدية عبر اعتمادها على أن الضحايا يقومون بتنفيذ الشيفرة الضارة يدويًا.

بجانب حملة المستثمرين المزيفة، استُخدمت أيضًا إضافة Chrome مخترقة لنشر هجمات مماثلة، ما وسّع التكتيك ليشمل أكثر من مجرد عمليات الاحتيال عبر الرسائل المباشرة.

هويات صناديق رأس المال المخاطر المزيفة

وفقًا لتقرير من Moonlock Lab، أنشأ المحتالون علامات تجارية وهمية لصناديق رأس المال المخاطر تشمل SolidBit وMegaBit وLumax Capital.

يقوم المهاجمون بالتواصل مع أهدافهم على LinkedIn بعروض شراكة ودعوات لمناقشة فرص استثمارية.

يُوجه الضحايا إلى روابط تبدو كروابط Zoom أو Google Meet.

بدلًا من اجتماع فعلي، تصلهم صفحة حدث احتيالية تتضمن خطوة تحقق مزيفة من Cloudflare مع مربع اختيار "أنا لست روبوتًا".

عند النقر على المربع، يتم نسخ أمر خبيث إلى الحافظة. ثم توجه الصفحة المستخدم إلى فتح طرفية الحاسوب ولصق ما يسمى بكود التحقق.

بمجرد تنفيذ الأمر، يتم إطلاق الهجوم.

قالت Moonlock Lab إن فاعلية ClickFix تكمن في إجبار الهدف على تشغيل الأمر بنفسه.

ولأنه لا يوجد تنزيل ملف مريب أو استغلال تلقائي، يتم تجاوز العديد من ضوابط الأمن التقليدية.

زعمت الشركة أن شخصًا يستخدم اسم Mykhailo Hureiev، مُعرَّفًا نفسه كمؤسس مشارك وشريك إداري في SolidBit Capital، عمل كجهة اتصال رئيسية خلال مرحلة التواصل على LinkedIn.

اختراق إضافة Chrome

في تطور منفصل، استخدم القراصنة زاوية ClickFix مماثلة عبر إضافة Chrome مخترقة.

أُزيلت إضافة QuickLens، التي تتيح للمستخدمين إجراء بحث Google Lens مباشرة في متصفحهم، من متجر Chrome بعد اكتشاف أنها تدفع سكربتات خبيثة.

قال John Tuckner، مؤسس Annex Security، في تقرير 23 فبراير إن QuickLens تغيرت ملكيتها في 1 فبراير.

بعد أسبوعين، صدر إصدار محدث يتضمن سكربتات أطلقت هجمات ClickFix وأدوات أخرى لسرقة المعلومات.

حوالي 7,000 مستخدم قاموا بتثبيت الإضافة.

ذكر تقرير 2 مارس من eSecurity Planet أن الإضافة المخترقة بحثت عن بيانات محافظ التشفير وعبارات الاسترداد لسرقة الأموال.

كما كشطت محتويات صندوق وارد Gmail وبيانات قنوات YouTube وبيانات تسجيل الدخول ومعلومات الدفع المدخلة في نماذج الويب.

تأثير أوسع على الصناعة

قالت Moonlock Lab إن هجمات ClickFix اكتسبت شعبية منذ العام الماضي لأنها تجبر الضحايا على تنفيذ الحمولة الخبيثة يدويًا، ما يسمح للمهاجمين بتجاوز العديد من أنظمة الكشف الآلي.

وتعقب الباحثون هذه الطريقة منذ عام 2024 على الأقل.

حذرت Microsoft Threat Intelligence في أغسطس من أنها رصدت حملات تستهدف آلاف أجهزة المؤسسات والأجهزة النهائية للمستخدمين يوميًا على مستوى العالم.

في يوليو، ذكرت Unit42 أن تقنية الهندسة الاجتماعية الجديدة نسبيًا أثرت على قطاعي التصنيع والجملة والتجزئة، والحكومات المحلية والولائية، وكذلك قطاعات المرافق والطاقة.