Des pirates crypto exploitent ClickFix via de faux contacts en capital‑risque

Les criminels du monde crypto affinent leurs techniques d'ingénierie sociale pour contourner les outils de sécurité traditionnels, en utilisant de faux démarchages de capital‑risque pour déployer une technique connue sous le nom de ClickFix.

Les chercheurs indiquent que les attaquants usurpent l'identité de sociétés d'investissement sur LinkedIn, attirent les utilisateurs dans de faux appels vidéo et les incitent à exécuter des commandes malveillantes sur leurs propres appareils.

La méthode évite les téléchargements classiques de logiciels malveillants en reposant sur le fait que les victimes exécutent manuellement du code nuisible.

Parallèlement à la campagne de faux investisseurs, une extension Chrome compromise a également été utilisée pour diffuser des attaques similaires, élargissant la tactique au‑delà des seules arnaques par message direct.

Fausses identités de capital‑risque

Selon un rapport de Moonlock Lab, des escrocs ont créé de fausses marques de capital‑risque incluant SolidBit, MegaBit et Lumax Capital.

Les attaquants approchent leurs cibles sur LinkedIn avec des propositions de partenariat et des invitations à discuter d'opportunités d'investissement.

Les victimes sont dirigées vers ce qui semble être des liens Zoom ou Google Meet.

Au lieu d'une réunion, elles arrivent sur une fausse page d'événement comportant une fausse étape de vérification Cloudflare avec une case « Je ne suis pas un robot ».

Cliquer sur la case copie une commande malveillante dans le presse‑papier. La page demande ensuite à l'utilisateur d'ouvrir le terminal de son ordinateur et de coller le prétendu code de vérification.

Une fois exécutée, la commande lance l'attaque.

Moonlock Lab a déclaré que l'efficacité de ClickFix réside dans le fait de contraindre la cible à exécuter elle‑même la commande.

Comme il n'y a aucun téléchargement de fichier suspect ni d'exploitation automatique, de nombreux contrôles de sécurité traditionnels sont contournés.

La firme a affirmé qu'une personne se présentant sous le nom de Mykhailo Hureiev, présenté comme cofondateur et associé gérant de SolidBit Capital, a joué le rôle de contact principal lors de la phase de démarchage sur LinkedIn.

Compromission d'une extension Chrome

Dans un développement distinct, des hackers ont exploité un angle ClickFix similaire via une extension Chrome compromise.

QuickLens, une extension permettant aux utilisateurs d'effectuer des recherches Google Lens directement depuis leur navigateur, a été retirée du Chrome Web Store après avoir été identifiée comme poussant des scripts malveillants.

John Tuckner, fondateur d'Annex Security, a indiqué dans un rapport du 23 février que QuickLens avait changé de propriétaire le 1er février.

Deux semaines plus tard, une version mise à jour a été publiée contenant des scripts qui lançaient des attaques ClickFix et d'autres outils de vol d'informations.

Environ 7 000 utilisateurs avaient installé l'extension.

Un rapport du 2 mars d'eSecurity Planet indiquait que l'extension détournée recherchait des données de portefeuilles crypto et des phrases mnémoniques pour voler des fonds.

Elle a également extrait le contenu des boîtes de réception Gmail, les données de chaînes YouTube, les identifiants de connexion et les informations de paiement saisies dans les formulaires web.

Impact sur l'ensemble du secteur

Moonlock Lab a déclaré que les attaques ClickFix ont gagné en popularité depuis l'année dernière car elles obligent les victimes à exécuter manuellement la charge utile malveillante, permettant aux attaquants d'éluder de nombreux systèmes de détection automatisés.

Les chercheurs suivent cette méthode depuis au moins 2024.

Microsoft Threat Intelligence a prévenu en août qu'il avait observé des campagnes visant chaque jour des milliers d'appareils d'entreprise et d'utilisateurs finaux à l'échelle mondiale.

En juillet, Unit42 a rapporté que cette technique d'ingénierie sociale relativement nouvelle affectait la fabrication, le commerce de gros et de détail, les gouvernements étatiques et locaux, ainsi que les services publics et le secteur de l'énergie.