Kryptohackere udnytter ClickFix via falsk venturekapital-henvendelse

Kryptokriminelle forfiner social engineering-taktikker for at omgå traditionelle sikkerhedsværktøjer ved at bruge falsk venturekapital-henvendelse til at anvende en teknik kendt som ClickFix.

Forskere oplyser, at angribere udgiver sig for at være investeringsfirmaer på LinkedIn, lokker brugere ind i falske videoopkald og får dem til at køre ondsindede kommandoer på deres egne enheder.

Metoden undgår konventionelle malware-downloads ved at få ofrene til manuelt at udføre skadelig kode.

Sideløbende med den falske investor-kampagne er en kompromitteret Chrome-udvidelse også blevet brugt til at sprede lignende angreb, hvilket udvider taktikken ud over direkte beskedsvindel.

Falske VC-identiteter

Ifølge en rapport fra Moonlock Lab, har svindlere oprettet falske venturekapitalbrands såsom SolidBit, MegaBit og Lumax Capital.

Angribere henvender sig til mål på LinkedIn med partnerskabsforslag og invitationer til at diskutere investeringsmuligheder.

Ofrene bliver dirigeret til links, der fremstår som Zoom- eller Google Meet-møder.

I stedet for et møde lander de på en falsk begivenhedsside, der indeholder et falsk Cloudflare-verifikationstrin med et 'I am not a robot' afkrydsningsfelt.

Et klik i feltet kopierer en ondsindet kommando til udklipsholderen. Siden instruerer herefter brugeren i at åbne deres computers terminal og indsætte den såkaldte verifikationskode.

Når den eksekveres, starter kommandoen angrebet.

Moonlock Lab sagde, at ClickFix' effektivitet ligger i at få målet til selv at køre kommandoen.

Da der ikke er nogen mistænkelig filoverførsel eller automatisk exploit, omgår mange traditionelle sikkerhedskontroller.

Firmaet hævdede, at en person, der brugte navnet Mykhailo Hureiev og blev præsenteret som medstifter og managing partner hos SolidBit Capital, fungerede som primær kontakt under LinkedIn-henvendelsesfasen.

Kompromitteret Chrome-udvidelse

I et separat tilfælde brugte hackere en lignende ClickFix-vinkel via en kompromitteret Chrome-udvidelse.

QuickLens, en udvidelse der tillod brugere at køre Google Lens-søgninger direkte i deres browser, blev fjernet fra Chrome Web Store, efter at den viste sig at skubbe ondsindede scripts.

John Tuckner, grundlægger af Annex Security, sagde i en Feb. 23 report, at QuickLens skiftede ejer den Feb. 1.

To uger senere blev en opdateret version udgivet, der indeholdt scripts, som igangsatte ClickFix-angreb og andre værktøjer til at stjæle oplysninger.

Omkring 7,000 brugere havde installeret udvidelsen.

En March 2 report fra eSecurity Planet oplyste, at den kaprede udvidelse søgte efter data fra krypto-tegnebøger og seed phrases for at stjæle midler.

Den skrapede også indhold fra Gmail-indbakker, YouTube-kanaldata, loginoplysninger og betalingsinformation indtastet i webformularer.

Bredere industri-påvirkning

Moonlock Lab sagde, at ClickFix-angreb er blevet mere udbredte siden sidste år, fordi de tvinger ofrene til manuelt at eksekvere den skadelige payload, hvilket giver angribere mulighed for at omgå mange automatiserede detektionssystemer.

Forskere har sporet metoden siden mindst 2024.

Microsoft Threat Intelligence warned in August that it observed campaigns targeting thousands of enterprise and end-user devices globally each day.

In July, Unit42 reported that the relatively new social engineering technique affected manufacturing, wholesale and retail, state and local governments, as well as utilities and energy sectors.