Penggodam kripto manfaatkan ClickFix menerusi penyamaran modal teroka palsu

Penjenayah kripto sedang memperkemas taktik kejuruteraan sosial untuk mengatasi alat keselamatan tradisional, menggunakan penyamaran sebagai modal teroka untuk menggunakan teknik yang dikenali sebagai ClickFix.

Penyelidik berkata penyerang menyamar sebagai firma pelaburan di LinkedIn, memancing pengguna ke panggilan video palsu, dan memperdayakan mereka agar menjalankan arahan berniat jahat pada peranti mereka sendiri.

Kaedah ini mengelakkan muat turun perisian hasad konvensional dengan bergantung pada mangsa untuk melaksanakan kod berbahaya secara manual.

Bersama dengan kempen pelabur palsu itu, sambungan Chrome yang telah diambil alih juga digunakan untuk menyebarkan serangan serupa, meluaskan taktik tersebut di luar penipuan mesej terus.

Identiti VC palsu

Menurut satu laporan oleh Moonlock Lab, pengelentong telah mencipta jenama modal teroka palsu termasuk SolidBit, MegaBit, dan Lumax Capital.

Penyerang mendekati sasaran di LinkedIn dengan cadangan kerjasama dan jemputan untuk membincangkan peluang pelaburan.

Mangsa diarahkan ke pautan yang kelihatan seperti Zoom atau Google Meet.

Daripada satu pertemuan, mereka dibawa ke halaman acara palsu yang memaparkan langkah pengesahan Cloudflare palsu dengan kotak semak "I am not a robot".

Mengklik kotak itu menyalin arahan berniat jahat ke papan klip. Halaman itu kemudian mengarahkan pengguna untuk membuka terminal komputer mereka dan menampal apa yang dikatakan sebagai kod pengesahan.

Setelah dilaksanakan, arahan itu melancarkan serangan.

Moonlock Lab berkata keberkesanan ClickFix terletak pada memaksa sasaran menjalankan arahan itu sendiri.

Oleh kerana tiada muat turun fail yang mencurigakan atau eksploit automatik, banyak kawalan keselamatan tradisional dapat diatasi.

Firma itu mendakwa bahawa seorang individu menggunakan nama Mykhailo Hureiev, yang dipersembahkan sebagai pengasas bersama dan rakan pengurusan di SolidBit Capital, bertindak sebagai kenalan utama semasa peringkat penghantaran mesej di LinkedIn.

Pengambilalihan sambungan Chrome

Dalam perkembangan berasingan, penggodam menggunakan sudut ClickFix yang serupa melalui sambungan Chrome yang diambil alih.

QuickLens, sambungan yang membolehkan pengguna menjalankan carian Google Lens terus dalam penyemak imbas mereka, telah dikeluarkan dari Chrome Web Store setelah didapati mengedar skrip berniat jahat.

John Tuckner, pengasas Annex Security, berkata dalam laporan 23 Feb. bahawa QuickLens bertukar pemilikan pada 1 Feb.

Dua minggu kemudian, versi yang dikemas kini dikeluarkan mengandungi skrip yang melancarkan serangan ClickFix dan alat lain untuk mencuri maklumat.

Kira-kira 7,000 pengguna telah memasang sambungan itu.

Satu laporan 2 Mac oleh eSecurity Planet menyatakan bahawa sambungan yang diambil alih itu mencari data dompet kripto dan frasa benih untuk mencuri dana.

Ia juga mengikis kandungan peti masuk Gmail, data saluran YouTube, kelayakan log masuk, dan maklumat pembayaran yang dimasukkan ke dalam borang web.

Impak industri lebih meluas

Moonlock Lab berkata serangan ClickFix menjadi popular sejak tahun lalu kerana ia memaksa mangsa melaksanakan muatan berniat jahat secara manual, membolehkan penyerang mengelakkan banyak sistem pengesanan automatik.

Penyelidik telah mengesan kaedah ini sejak sekurang-kurangnya 2024.

Microsoft Threat Intelligence memberi amaran pada Ogos bahawa ia mengamati kempen yang menyasarkan ribuan peranti perusahaan dan pengguna akhir di seluruh dunia setiap hari.

Pada Julai, Unit42 melaporkan bahawa teknik kejuruteraan sosial yang agak baru itu menjejaskan sektor pembuatan, borong dan runcit, kerajaan negeri dan tempatan, serta utiliti dan sektor tenaga.