Kryptorikolliset hyödyntävät ClickFixiä vale‑pääomasijoittajien yhteydenotoissa

Kryptorikolliset hioavat sosiaalisen manipuloinnin taktiikoitaan kiertääkseen perinteisiä turvatoimia, käyttämällä vale‑pääomasijoittajien yhteydenottoja ottaakseen käyttöön ClickFix‑nimisen tekniikan.

Tutkijoiden mukaan hyökkääjät esiintyvät sijoitusyhtiöinä LinkedInissä, houkuttelevat käyttäjiä petollisiin videopuheluihin ja saavat heidät ajamaan haitallisia komentoja omilla laitteillaan.

Menetelmä välttää perinteiset haittaohjelmalataukset luottamalla siihen, että uhrit suorittavat haitallisen koodin manuaalisesti.

Väärennetyn sijoittajakampanjan ohella myös kaapattu Chrome‑laajennus on levittänyt samankaltaisia hyökkäyksiä, laajentaen taktiikkaa suoraviestihuijauksien ulkopuolelle.

Vale‑VC‑identiteetit

Moonlock Labin raportin mukaan, huijarit ovat luoneet väärennettyjä pääomasijoitusbrändejä, kuten SolidBit, MegaBit ja Lumax Capital.

Hyökkääjät lähestyvät kohteita LinkedInissä yhteistyöehdotuksilla ja kutsuilla keskustella sijoitusmahdollisuuksista.

Uhrit ohjataan näennäisesti Zoom‑ tai Google Meet ‑linkkeihin.

Sen sijaan he päätyvät petolliselle tapahtumasivulle, jolla on väärennetty Cloudflare‑varmennusvaihe ja "En ole robotti"‑valintaruutu.

Valintaruudun klikkaaminen kopioi haitallisen komennon leikepöydälle. Sivu kehottaa sitten käyttäjää avaamaan tietokoneensa komentorivin ja liittämään niin kutsutun varmennuskoodin.

Kun komento suoritetaan, hyökkäys käynnistyy.

Moonlock Labin mukaan ClickFixin tehokkuus perustuu siihen, että se pakottaa kohteen suorittamaan komennon itse.

Koska epäilyttävää tiedoston latausta tai automaattista hyökkäystä ei tapahdu, monet perinteiset suojauskontrollit ohitetaan.

Yritys väitti, että henkilö, joka käytti nimeä Mykhailo Hureiev ja esiintyi SolidBit Capitalin perustajana ja johtavana partnerina, toimi ensisijaisena yhteyshenkilönä LinkedIn‑lähestymisvaiheessa.

Chrome‑laajennuksen kaappaus

Erillisessä kehityksessä hakkerit käyttivät samankaltaista ClickFix‑lähestymistapaa kaapatun Chrome‑laajennuksen kautta.

QuickLens, laajennus joka mahdollisti Google Lens ‑haut suoraan selaimessa, poistettiin Chrome Web Storesta sen löydettyä työntävän haitallisia skriptejä.

Annex Securityn perustaja John Tuckner totesi Feb. 23 -raportissa, että QuickLensin omistajuus vaihtui Feb. 1.

Kaksi viikkoa myöhemmin julkaistiin päivitetty versio, joka sisälsi skriptejä, jotka käynnistivät ClickFix‑hyökkäyksiä ja muita tiedonkeruutyökaluja.

Noin 7 000 käyttäjää oli asentanut laajennuksen.

eSecurity Planetin March 2 -raportissa todettiin, että kaapattu laajennus etsi kryptolompakkotietoja ja siemenlauseita varojen varastamiseksi.

Se myös keräsi Gmail‑saapuneet‑kansion sisältöä, YouTube‑kanavatietoja, kirjautumistunnuksia ja maksutietoja, jotka oli syötetty verkkolomakkeisiin.

Laajempi toimialavaikutus

Moonlock Labin mukaan ClickFix‑hyökkäykset ovat yleistyneet viime vuodesta lähtien, koska ne pakottavat uhrin suorittamaan haitallisen hyötykuorman manuaalisesti, mikä antaa hyökkääjille keinon ohittaa monet automatisoidut tunnistusjärjestelmät.

Tutkijat ovat seuranneet menetelmää vähintään vuodesta 2024 lähtien.

Microsoft Threat Intelligence warned in August, että se havaitsi kampanjoita, jotka kohdistuivat päivittäin tuhansiin yritys‑ ja loppukäyttäjälaitteisiin maailmanlaajuisesti.

Heinäkuussa Unit42 reported että suhteellisen uusi sosiaalisen manipuloinnin tekniikka vaikutti valmistukseen, tukkukauppaan ja vähittäiskauppaan sekä valtion ja paikallishallintoon, samoin kuin sähkö‑ ja energia‑aloihin.