Crypto-hackers misbruiken ClickFix via valse durfkapitaalcontacten

Cryptocriminelen verfijnen social-engineeringtactieken om traditionele beveiligingsmiddelen te omzeilen, en gebruiken valse durfkapitaalcontacten om een techniek genaamd ClickFix in te zetten.

Onderzoekers zeggen dat aanvallers zich voordoen als investeringsfirma's op LinkedIn, gebruikers lokken naar frauduleuze videogesprekken en hen misleiden om kwaadaardige commando's op hun eigen apparaten uit te voeren.

De methode vermijdt conventionele malware-downloads door te vertrouwen op slachtoffers die schadelijke code handmatig uitvoeren.

Naast de campagne met valse investeerders is ook een gekaapte Chrome-extensie gebruikt om soortgelijke aanvallen te verspreiden, waardoor de tactiek verder reikt dan oplichting via directe berichten.

Valse durfkapitaalidentiteiten

Volgens een rapport van Moonlock Lab hebben oplichters valse durfkapitaalmerken gecreëerd, waaronder SolidBit, MegaBit en Lumax Capital.

Aanvallers benaderen doelwitten op LinkedIn met samenwerkingsvoorstellen en uitnodigingen om investeringsmogelijkheden te bespreken.

Slachtoffers worden geleid naar links die lijken op Zoom- of Google Meet-vergaderingen.

In plaats van een vergadering komen ze op een frauduleuze evenementpagina terecht met een valse Cloudflare-verificatiestap met een vakje "Ik ben geen robot".

Als ze het vakje aanklikken, kopieert dat een kwaadaardig commando naar het klembord. De pagina instrueert de gebruiker vervolgens om de terminal van hun computer te openen en de zogenoemde verificatiecode te plakken.

Eenmaal uitgevoerd start het commando de aanval.

Moonlock Lab zei dat de effectiviteit van ClickFix erin ligt dat het het doelwit dwingt het commando zelf uit te voeren.

Omdat er geen verdachte bestandsdownload of automatische exploit plaatsvindt, worden veel traditionele beveiligingsmaatregelen omzeild.

Het bedrijf stelde dat een individu onder de naam Mykhailo Hureiev, gepresenteerd als medeoprichter en managing partner bij SolidBit Capital, als primair contact optrad tijdens de LinkedIn-benaderingsfase.

Gekaapte Chrome-extensie

In een aparte ontwikkeling gebruikten hackers een vergelijkbare ClickFix-aanpak via een gekaapte Chrome-extensie.

QuickLens, een extensie waarmee gebruikers Google Lens-zoekopdrachten direct in hun browser kunnen uitvoeren, werd uit de Chrome Web Store verwijderd nadat bleek dat het kwaadaardige scripts verspreidde.

John Tuckner, oprichter van Annex Security, zei in een rapport van Feb. 23 dat QuickLens op Feb. 1 van eigenaar veranderde.

Twee weken later werd een bijgewerkte versie uitgebracht met scripts die ClickFix-aanvallen en andere tools voor het stelen van informatie activeerden.

Ongeveer 7.000 gebruikers hadden de extensie geïnstalleerd.

Een rapport van March 2 door eSecurity Planet stelde dat de gekaapte extensie zocht naar gegevens van crypto-wallets en herstelzinnen om fondsen te stelen.

Daarnaast schraapte het ook Gmail-inboxinhoud, YouTube-kanaalgegevens, inloggegevens en betalingsinformatie die in webformulieren werden ingevuld.

Brede impact op de sector

Moonlock Lab zei dat ClickFix-aanvallen sinds vorig jaar aan populariteit hebben gewonnen omdat ze slachtoffers ertoe dwingen de schadelijke payload handmatig uit te voeren, waardoor aanvallers veel geautomatiseerde detectiesystemen omzeilen.

Onderzoekers volgen de methode al sinds minstens 2024.

Microsoft Threat Intelligence waarschuwde in August dat het campagnes had waargenomen die zich elke dag wereldwijd op duizenden apparaten van ondernemingen en eindgebruikers richtten.

In July, Unit42 meldde dat de relatief nieuwe social-engineeringtechniek effect had op de maakindustrie, groothandel en detailhandel, deelstaat- en lokale overheden, evenals nutsbedrijven en de energiesector.