Kryptoútočníci zneužívají ClickFix prostřednictvím falešného VC oslovení

Kryptoútočníci zdokonalují taktiky sociálního inženýrství, aby obešli tradiční bezpečnostní nástroje, a používají falešné oslovení venture kapitálu k nasazení techniky zvané ClickFix.

Výzkumníci uvádějí, že útočníci se vydávají za investiční firmy na LinkedInu, lákají uživatele na podvodné videohovory a přimějí je spustit na svých zařízeních škodlivé příkazy.

Metoda se vyhýbá konvenčnímu stahování malwaru tím, že spoléhá na to, že oběti ručně vykonají škodlivý kód.

Vedle kampaně s falešnými investory byl podobný útok šířen i kompromitovaným rozšířením Chrome, čímž se taktika rozšířila nad rámec přímých podvodných zpráv.

Falešné identity VC

Podle zprávy Moonlock Lab podvodníci vytvořili falešné značky venture kapitálu včetně SolidBit, MegaBit a Lumax Capital.

Útočníci oslovují cíle na LinkedInu s návrhy na partnerství a pozvánkami k projednání investičních příležitostí.

Oběti jsou nasměrovány na odkazy, které vypadají jako Zoom nebo Google Meet.

Místo schůzky se ocitnou na podvodné stránce události, která obsahuje falešný krok ověření Cloudflare s políčkem 'Nejsem robot'.

Po kliknutí se do schránky zkopíruje škodlivý příkaz. Stránka pak uživatele instruuje, aby otevřel terminál počítače a vložil takzvaný ověřovací kód.

Po jeho spuštění příkaz spustí útok.

Moonlock Lab uvedl, že účinnost ClickFix spočívá v tom, že nutí cíl spustit příkaz sám.

Protože nedochází ke stažení podezřelého souboru ani k automatickému zneužití, mnoho tradičních bezpečnostních kontrol je obcházeno.

Firma uvedla, že osoba používající jméno Mykhailo Hureiev, prezentovaná jako spoluzakladatel a výkonný partner ve SolidBit Capital, působila jako hlavní kontaktní osoba během oslovování na LinkedInu.

Kompromitace rozšíření Chrome

V samostatném vývoji útočníci využili podobný přístup ClickFix prostřednictvím kompromitovaného rozšíření Chrome.

QuickLens, rozšíření umožňující uživatelům spouštět vyhledávání Google Lens přímo v prohlížeči, bylo odstraněno z Chrome Web Store poté, co se zjistilo, že distribuuje škodlivé skripty.

John Tuckner, zakladatel Annex Security, uvedl ve zprávě ze 23. února, že QuickLens změnilo vlastnictví 1. února.

O dva týdny později byla vydána aktualizovaná verze obsahující skripty, které spouštěly útoky ClickFix a další nástroje kradoucí informace.

Přibližně 7 000 uživatelů mělo rozšíření nainstalované.

Ve zprávě z 2. března eSecurity Planet uvedl, že kompromitované rozšíření vyhledávalo údaje o kryptopeněženkách a seed frází za účelem krádeže prostředků.

Také skrábovalo obsah Gmail inboxů, data kanálů YouTube, přihlašovací údaje a platební informace zadané do webových formulářů.

Širší dopad na odvětví

Moonlock Lab uvedl, že útoky ClickFix získaly na popularitě od minulého roku, protože donucují oběti manuálně vykonat škodlivý payload, což útočníkům umožňuje obejít mnoho automatizovaných detekčních systémů.

Výzkumníci metodu sledují nejméně od roku 2024.

Microsoft Threat Intelligence varoval v srpnu, že pozoroval kampaně cílené na tisíce podnikových a koncových zařízení po celém světě denně.

V červenci Unit42 uvedl, že relativně nová technika sociálního inženýrství zasáhla výrobu, velkoobchod a maloobchod, státní a místní vlády, stejně jako veřejné služby a energetiku.