Krypto-hackere utnytter ClickFix via falsk VC-kontakt

Kryptokriminelle finjusterer sosialteknikker for å omgå tradisjonelle sikkerhetsverktøy, og bruker falsk risikokapitalkontakt for å iverksette en teknikk kjent som ClickFix.

Forskere sier angripere utgir seg for investeringsselskaper på LinkedIn, lokker brukere inn i falske videomøter og lurer dem til å kjøre ondsinnede kommandoer på sine egne enheter.

Metoden unngår konvensjonelle nedlastinger av skadelig programvare ved å få ofrene til manuelt å kjøre den ondsinnede koden.

I tillegg til den falske investor-kampanjen er også en kompromittert Chrome-utvidelse blitt brukt til å spre lignende angrep, noe som utvider taktikken utover direkte meldingssvindel.

Falske VC-identiteter

Ifølge en rapport fra Moonlock Lab, har svindlere opprettet falske risikokapitalmerker som SolidBit, MegaBit og Lumax Capital.

Angripere kontakter målpersoner på LinkedIn med partnerskapsforslag og invitasjoner for å diskutere investeringsmuligheter.

Ofrene blir vist lenker som ser ut til å være Zoom- eller Google Meet-møter.

I stedet for et møte, havner de på en falsk arrangements-side som inneholder et falskt Cloudflare-verifiseringssteg med en "I am not a robot"-avkrysningsboks.

Ved å klikke boksen kopieres en ondsinnet kommando til utklippstavlen. Siden instruerer deretter brukeren om å åpne datamaskinens terminal og lime inn den såkalte verifiseringskoden.

Når den kjøres, iverksetter kommandoen angrepet.

Moonlock Lab sa at ClickFixs effektivitet ligger i at målet blir tvunget til selv å kjøre kommandoen.

Fordi det ikke er noen mistenkelig filnedlasting eller automatisk utnyttelse, omgår mange tradisjonelle sikkerhetskontroller.

Firmaet hevdet at en person som brukte navnet Mykhailo Hureiev, fremstilt som medgründer og administrerende partner i SolidBit Capital, fungerte som hovedkontakt under LinkedIn-kontaktfasen.

Kompromittert Chrome-utvidelse

I en separat utvikling brukte hackere en lignende ClickFix-tilnærming via en kompromittert Chrome-utvidelse.

QuickLens, en utvidelse som lar brukere kjøre Google Lens-søk direkte i nettleseren, ble fjernet fra Chrome Web Store etter at den ble funnet å distribuere ondsinnede skript.

John Tuckner, grunnlegger av Annex Security, sa i en rapport datert Feb. 23 at QuickLens endret eierskap på Feb. 1.

To uker senere ble en oppdatert versjon utgitt som inneholdt skript som utløste ClickFix-angrep og andre informasjonsstjelende verktøy.

Omtrent 7 000 brukere hadde installert utvidelsen.

En rapport datert March 2 fra eSecurity Planet uttalte at den kaprede utvidelsen søkte etter kryptolommebokdata og seedfraser for å stjele midler.

Den skrapet også Gmail-innhold, YouTube-kanaldata, påloggingsinformasjon og betalingsinformasjon som ble skrevet inn i webskjemaer.

Større bransjeinnvirkning

Moonlock Lab sa at ClickFix-angrep har blitt mer utbredt siden i fjor fordi de tvinger ofre til manuelt å kjøre den ondsinnede koden, noe som gjør at angripere kan omgå mange automatiske deteksjonssystemer.

Forskere har sporet metoden siden minst 2024.

Microsoft Threat Intelligence advarte i August om at de observerte kampanjer som hver dag målrettet tusenvis av bedrifts- og sluttbrukerenheter globalt.

I July, Unit42 reported at den relativt nye sosialteknikkmetoden rammet produksjon, engros og detaljhandel, statlige og lokale myndigheter, samt forsynings- og energisektoren.