Hacker crypto sfruttano ClickFix tramite finti contatti di venture capital

I criminali crypto stanno perfezionando tattiche di social engineering per aggirare gli strumenti di sicurezza tradizionali, utilizzando falsi contatti di venture capital per impiegare una tecnica nota come ClickFix.

I ricercatori affermano che gli attaccanti si spacciano per società di investimento su LinkedIn, attirano gli utenti in videochiamate fraudolente e li inducono a eseguire comandi dannosi sui propri dispositivi.

Il metodo evita i download convenzionali di malware facendo affidamento sul fatto che le vittime eseguano manualmente codice dannoso.

Parallelamente alla campagna con investitori falsi, è stata utilizzata anche un'estensione Chrome compromessa per diffondere attacchi simili, estendendo la tattica oltre le truffe via messaggi diretti.

Identità VC false

Secondo un rapporto di Moonlock Lab, gli scammer hanno creato marchi di venture capital fasulli tra cui SolidBit, MegaBit e Lumax Capital.

Gli attaccanti contattano i bersagli su LinkedIn con proposte di partnership e inviti a discutere opportunità di investimento.

Le vittime vengono indirizzate a quello che sembra essere un link per Zoom o Google Meet.

Invece di una riunione, atterrano su una pagina evento fraudolenta che mostra un passaggio di verifica Cloudflare falso con una casella "non sono un robot".

Cliccando la casella viene copiato negli appunti un comando dannoso. La pagina poi istruisce l'utente ad aprire il terminale del computer e incollare il cosiddetto codice di verifica.

Una volta eseguito, il comando avvia l'attacco.

Moonlock Lab ha detto che l'efficacia di ClickFix risiede nel costringere il bersaglio a eseguire personalmente il comando.

Poiché non c'è il download di file sospetti né uno sfruttamento automatico, molti controlli di sicurezza tradizionali vengono elusi.

La società ha sostenuto che un individuo che si è presentato con il nome Mykhailo Hureiev, indicato come cofondatore e managing partner di SolidBit Capital, ha agito come contatto principale durante la fase di outreach su LinkedIn.

Compromissione dell'estensione Chrome

In uno sviluppo separato, gli hacker hanno sfruttato un vettore ClickFix simile tramite un'estensione Chrome compromessa.

QuickLens, un'estensione che permette agli utenti di eseguire ricerche Google Lens direttamente nel browser, è stata rimossa dal Chrome Web Store dopo che è stato scoperto che distribuiva script dannosi.

John Tuckner, fondatore di Annex Security, ha dichiarato in un rapporto del 23 febbraio che QuickLens ha cambiato proprietà il 1° febbraio.

Due settimane dopo è stata rilasciata una versione aggiornata contenente script che hanno lanciato attacchi ClickFix e altri strumenti per il furto di informazioni.

Circa 7.000 utenti avevano installato l'estensione.

Un rapporto del 2 marzo di eSecurity Planet ha affermato che l'estensione dirottata cercava dati di wallet crypto e frasi mnemoniche per rubare fondi.

Ha inoltre estratto i contenuti della casella Gmail, i dati dei canali YouTube, le credenziali di accesso e le informazioni di pagamento inserite nei moduli web.

Impatto più ampio sull'industria

Moonlock Lab ha detto che gli attacchi ClickFix hanno guadagnato popolarità dall'anno scorso perché obbligano le vittime a eseguire manualmente il payload dannoso, permettendo agli attaccanti di eludere molti sistemi di rilevamento automatici.

I ricercatori monitorano il metodo almeno dal 2024.

Microsoft Threat Intelligence ha avvertito in agosto di aver osservato campagne che prendono di mira migliaia di dispositivi aziendali e dei singoli utenti a livello globale ogni giorno.

In luglio, Unit42 ha riportato che la tecnica di social engineering relativamente nuova ha interessato i settori manifatturiero, dell'ingrosso e del dettaglio, i governi statali e locali, oltre alle utility e al settore energetico.