Χάκερ κρυπτονομισμάτων εκμεταλλεύονται το ClickFix μέσω πλαστής προσέγγισης από VC

Εγκληματίες του χώρου των κρυπτονομισμάτων βελτιώνουν τις τεχνικές κοινωνικής μηχανικής για να παρακάμψουν τα παραδοσιακά εργαλεία ασφάλειας, χρησιμοποιώντας πλαστή προσέγγιση από εταιρείες venture capital για να εφαρμόσουν μια τεχνική γνωστή ως ClickFix.

Ερευνητές αναφέρουν ότι οι επιτιθέμενοι προσποιούνται εταιρείες επενδύσεων στο LinkedIn, προσελκύουν χρήστες σε πλαστές βιντεοκλήσεις και τους ξεγελούν να εκτελέσουν κακόβουλες εντολές στις συσκευές τους.

Η μέθοδος αποφεύγει τις συμβατικές λήψεις κακόβουλου λογισμικού, βασιζόμενη στο ότι τα θύματα θα εκτελέσουν χειροκίνητα κακόβουλο κώδικα.

Παράλληλα με την εκστρατεία με τους πλαστούς επενδυτές, μια παραβιασμένη επέκταση Chrome χρησιμοποιήθηκε επίσης για τη διάδοση παρόμοιων επιθέσεων, διευρύνοντας την τακτική πέρα από τις απάτες μέσω άμεσων μηνυμάτων.

Πλαστές ταυτότητες VC

Σύμφωνα με μια αναφορά του Moonlock Lab, οι απατεώνες δημιούργησαν ψεύτικα brands εταιρειών venture capital, συμπεριλαμβανομένων των SolidBit, MegaBit και Lumax Capital.

Οι επιτιθέμενοι προσεγγίζουν στόχους στο LinkedIn με προτάσεις συνεργασίας και προσκλήσεις για συζήτηση επενδυτικών ευκαιριών.

Τα θύματα κατευθύνονται σε συνδέσμους που φαίνεται να είναι για Zoom ή Google Meet.

Αντί για συνάντηση, προσγειώνονται σε μια πλαστή σελίδα εκδήλωσης που περιλαμβάνει πλαστό βήμα επαλήθευσης Cloudflare με ένα πλαίσιο ελέγχου «Δεν είμαι ρομπότ».

Κάνοντας κλικ στο πλαίσιο αντιγράφεται μια κακόβουλη εντολή στο πρόχειρο. Η σελίδα στη συνέχεια καθοδηγεί τον χρήστη να ανοίξει το τερματικό του υπολογιστή του και να επικολλήσει τον δήθεν κωδικό επαλήθευσης.

Μόλις εκτελεστεί, η εντολή ενεργοποιεί την επίθεση.

Το Moonlock Lab δήλωσε ότι η αποτελεσματικότητα του ClickFix έγκειται στο ότι αναγκάζει το στόχο να εκτελέσει την εντολή ο ίδιος.

Επειδή δεν υπάρχει ύποπτη λήψη αρχείου ή αυτόματη εκμετάλλευση, πολλά παραδοσιακά μέτρα ασφάλειας παρακάμπτονται.

Η εταιρεία ισχυρίστηκε ότι ένα άτομο που παρουσιαζόταν με το όνομα Mykhailo Hureiev, ως συνιδρυτής και διαχειριστής εταίρος στην SolidBit Capital, λειτούργησε ως κύριος επαφής κατά το στάδιο προσέγγισης στο LinkedIn.

Παραβίαση επέκτασης Chrome

Σε ξεχωριστή εξέλιξη, χάκερ χρησιμοποίησαν παρόμοια προσέγγιση ClickFix μέσω παραβιασμένης επέκτασης Chrome.

Το QuickLens, μια επέκταση που επιτρέπει στους χρήστες να πραγματοποιούν αναζητήσεις Google Lens απευθείας στον περιηγητή τους, αφαιρέθηκε από το Chrome Web Store αφού βρέθηκε να προωθεί κακόβουλα scripts.

Ο John Tuckner, ιδρυτής της Annex Security, είπε σε μια Feb. 23 report ότι το QuickLens άλλαξε ιδιοκτησία στις Feb. 1.

Δύο εβδομάδες αργότερα κυκλοφόρησε μια ενημερωμένη έκδοση που περιείχε σενάρια που εκτόξευαν επιθέσεις ClickFix και άλλα εργαλεία κλοπής πληροφοριών.

Περίπου 7.000 χρήστες είχαν εγκαταστήσει την επέκταση.

Μια March 2 report από το eSecurity Planet ανέφερε ότι η παραβιασμένη επέκταση αναζητούσε δεδομένα πορτοφολιών κρυπτονομισμάτων και φράσεις ανάκτησης για να κλέψει κεφάλαια.

Επίσης ανέκλεψε περιεχόμενο εισερχομένων Gmail, δεδομένα καναλιών YouTube, διαπιστευτήρια σύνδεσης και πληροφορίες πληρωμής που εισήχθησαν σε φόρμες web.

Ευρύτερος αντίκτυπος στον κλάδο

Το Moonlock Lab ανέφερε ότι οι επιθέσεις ClickFix κέρδισαν δημοτικότητα από πέρυσι επειδή αναγκάζουν τα θύματα να εκτελέσουν χειροκίνητα το κακόβουλο φορτίο, επιτρέποντας στους επιτιθέμενους να παρακάμψουν πολλά αυτοματοποιημένα συστήματα ανίχνευσης.

Οι ερευνητές παρακολουθούν τη μέθοδο τουλάχιστον από το 2024.

Η Microsoft Threat Intelligence προειδοποίησε τον Αύγουστο ότι παρατήρησε εκστρατείες που στοχεύουν χιλιάδες συσκευές επιχειρήσεων και τελικών χρηστών παγκοσμίως κάθε μέρα.

Τον Ιούλιο, η Unit42 ανέφερε ότι η σχετικά νέα τεχνική κοινωνικής μηχανικής επηρέασε τον κλάδο της μεταποίησης, το χονδρικό και λιανικό εμπόριο, κυβερνήσεις σε κρατικό και τοπικό επίπεδο, καθώς και τους τομείς κοινής ωφέλειας και ενέργειας.