Hackers cripto explotan ClickFix mediante suplantación de firmas de capital riesgo

Los ciberdelincuentes cripto están perfeccionando tácticas de ingeniería social para eludir las herramientas de seguridad tradicionales, usando contactos falsos de capital riesgo para desplegar una técnica conocida como ClickFix.

Los investigadores indican que los atacantes se hacen pasar por firmas de inversión en LinkedIn, atraen a usuarios a videollamadas fraudulentas y los engañan para que ejecuten comandos maliciosos en sus propios dispositivos.

El método evita las descargas convencionales de malware al basarse en que las víctimas ejecuten manualmente código dañino.

Junto a la campaña de inversores falsos, también se ha utilizado una extensión de Chrome comprometida para propagar ataques similares, ampliando la táctica más allá de los fraudes por mensajería directa.

Identidades falsas de VC

Según un informe de Moonlock Lab, los estafadores han creado marcas de capital riesgo falsas, incluidas SolidBit, MegaBit y Lumax Capital.

Los atacantes contactan a sus víctimas en LinkedIn con propuestas de asociación e invitaciones para hablar de oportunidades de inversión.

Las víctimas son dirigidas a enlaces que parecen ser de Zoom o Google Meet.

En lugar de una reunión, aterrizan en una página de evento fraudulenta que incluye un falso paso de verificación de Cloudflare con una casilla de 'No soy un robot'.

Al hacer clic en la casilla, se copia un comando malicioso al portapapeles. La página luego instruye al usuario para que abra el terminal de su equipo y pegue el denominado código de verificación.

Una vez ejecutado, el comando lanza el ataque.

Moonlock Lab afirmó que la eficacia de ClickFix radica en obligar al objetivo a ejecutar el comando por sí mismo.

Al no haber una descarga de archivo sospechosa ni un exploit automático, se esquivan muchos controles de seguridad tradicionales.

La firma alegó que una persona que usaba el nombre Mykhailo Hureiev, presentada como cofundador y socio director de SolidBit Capital, actuó como contacto principal durante la etapa de acercamiento en LinkedIn.

Extensión de Chrome comprometida

En otro hecho, los hackers emplearon un enfoque similar de ClickFix a través de una extensión de Chrome comprometida.

QuickLens, una extensión que permite a los usuarios realizar búsquedas con Google Lens directamente en el navegador, fue retirada de la Chrome Web Store tras detectarse que distribuía scripts maliciosos.

John Tuckner, fundador de Annex Security, dijo en un informe del 23 de febrero que QuickLens cambió de propietario el 1 de febrero.

Dos semanas después se lanzó una versión actualizada que contenía scripts que iniciaban ataques ClickFix y otras herramientas para robar información.

Alrededor de 7.000 usuarios habían instalado la extensión.

Un informe del 2 de marzo de eSecurity Planet afirmó que la extensión secuestrada buscaba datos de monederos cripto y frases semilla para robar fondos.

También raspó el contenido de bandejas de entrada de Gmail, datos de canales de YouTube, credenciales de acceso e información de pago introducida en formularios web.

Impacto más amplio en la industria

Moonlock Lab dijo que los ataques ClickFix han ganado popularidad desde el año pasado porque obligan a las víctimas a ejecutar manualmente la carga útil maliciosa, lo que permite a los atacantes eludir muchos sistemas de detección automatizados.

Los investigadores han rastreado el método desde al menos 2024.

Microsoft Threat Intelligence advirtió en agosto que observó campañas que apuntaban a miles de dispositivos empresariales y de usuarios finales en todo el mundo cada día.

En julio, Unit42 informó que la técnica de ingeniería social relativamente nueva afectó a los sectores de fabricación, mayoristas y minoristas, gobiernos estatales y locales, así como a los servicios públicos y el sector energético.