Hakerzy kryptowalutowi wykorzystują ClickFix poprzez fałszywe kontakty VC

Kryminaliści działający w obszarze kryptowalut udoskonalają techniki inżynierii społecznej, by omijać tradycyjne narzędzia zabezpieczeń, wykorzystując fałszywe kontakty z funduszami venture capital do przeprowadzania techniki znanej jako ClickFix.

Badacze twierdzą, że atakujący podszywają się pod firmy inwestycyjne na LinkedIn, wabiąc użytkowników na fałszywe wideorozmowy i nakłaniając ich do uruchamiania złośliwych poleceń na własnych urządzeniach.

Metoda ta unika konwencjonalnego pobierania złośliwego oprogramowania, polegając na tym, że ofiary ręcznie wykonują szkodliwy kod.

Obok kampanii z fałszywymi inwestorami wykorzystywano także przejęte rozszerzenie Chrome, aby rozpowszechniać podobne ataki, rozszerzając taktykę poza oszustwa w wiadomościach bezpośrednich.

Fałszywe tożsamości VC

Według raportu Moonlock Lab, oszuści stworzyli fałszywe marki venture capital, w tym SolidBit, MegaBit i Lumax Capital.

Atakujący kontaktują się z celami na LinkedIn z propozycjami partnerstwa i zaproszeniami do omówienia możliwości inwestycyjnych.

Ofiary są kierowane do pozornych linków Zoom lub Google Meet.

Zamiast spotkania trafiają na sfałszowaną stronę wydarzenia z fałszywym krokiem weryfikacji Cloudflare zawierającym pole wyboru "Nie jestem robotem".

Kliknięcie pola kopiuje złośliwe polecenie do schowka. Strona następnie instruuje użytkownika, aby otworzył terminal na komputerze i wkleił tzw. kod weryfikacyjny.

Po wykonaniu polecenie uruchamia atak.

Moonlock Lab stwierdził, że skuteczność ClickFix polega na zmuszeniu celu do uruchomienia polecenia samodzielnie.

Ponieważ nie dochodzi do podejrzanego pobrania pliku ani automatycznego wykorzystania luki, wiele tradycyjnych mechanizmów zabezpieczeń zostaje ominiętych.

Firma twierdziła, że osoba używająca nazwiska Mykhailo Hureiev, przedstawiana jako współzałożyciel i partner zarządzający w SolidBit Capital, działała jako główny kontakt podczas etapu kontaktów na LinkedIn.

Przejęcie rozszerzenia Chrome

W odrębnym zdarzeniu hakerzy wykorzystali podobny wariant ClickFix za pośrednictwem przejętego rozszerzenia Chrome.

QuickLens, rozszerzenie umożliwiające użytkownikom uruchamianie wyszukiwań Google Lens bezpośrednio w przeglądarce, zostało usunięte z Chrome Web Store po wykryciu, że dystrybuuje złośliwe skrypty.

John Tuckner, założyciel Annex Security, napisał w raporcie z 23 lutego, że QuickLens zmienił właściciela 1 lutego.

Dwa tygodnie później opublikowano zaktualizowaną wersję zawierającą skrypty uruchamiające ataki ClickFix oraz inne narzędzia kradnące informacje.

Około 7 000 użytkowników zainstalowało rozszerzenie.

W raporcie z 2 marca eSecurity Planet podał, że przejęte rozszerzenie wyszukiwało dane portfeli kryptowalut oraz frazy odzyskiwania (seed phrases), aby kraść środki.

Dodatkowo zbierało zawartość skrzynek Gmail, dane kanałów YouTube, poświadczenia logowania oraz informacje płatnicze wprowadzane do formularzy internetowych.

Szerszy wpływ na branżę

Moonlock Lab podał, że ataki ClickFix zyskały na popularności od ubiegłego roku, ponieważ zmuszają ofiary do ręcznego wykonania złośliwego ładunku, co pozwala atakującym obejść wiele zautomatyzowanych systemów wykrywania.

Badacze śledzą tę metodę co najmniej od 2024 roku.

Microsoft Threat Intelligence ostrzegł w sierpniu, że obserwował kampanie celujące codziennie w tysiące urządzeń korporacyjnych i końcowych na całym świecie.

W lipcu Unit42 poinformował, że stosunkowo nowa technika inżynierii społecznej dotknęła sektor produkcyjny, hurtowy i detaliczny, administrację państwową i lokalną oraz sektor użyteczności publicznej i energetyczny.