Hackers de criptomoedas exploram ClickFix com contatos falsos de venture capital

Criminosos de criptomoedas estão aprimorando táticas de engenharia social para contornar ferramentas tradicionais de segurança, usando contatos falsos de venture capital para empregar uma técnica conhecida como ClickFix.

Pesquisadores dizem que os atacantes estão se passando por empresas de investimento no LinkedIn, atraindo usuários para chamadas de vídeo fraudulentas e enganando-os para que executem comandos maliciosos em seus próprios dispositivos.

O método evita downloads convencionais de malware ao depender que as vítimas executem manualmente código nocivo.

Paralelamente à campanha de investidores falsos, uma extensão do Chrome comprometida também foi usada para espalhar ataques semelhantes, expandindo a tática além dos golpes por mensagem direta.

Identidades falsas de venture capital

De acordo com um relatório da Moonlock Lab, golpistas criaram marcas fictícias de venture capital, incluindo SolidBit, MegaBit e Lumax Capital.

Os atacantes abordam alvos no LinkedIn com propostas de parceria e convites para discutir oportunidades de investimento.

As vítimas são direcionadas para links que aparentam ser do Zoom ou do Google Meet.

Em vez de uma reunião, elas caem em uma página de evento fraudulenta que exibe uma etapa de verificação falsa da Cloudflare com uma caixa "Não sou um robô".

Clicar na caixa copia um comando malicioso para a área de transferência. A página então instrui o usuário a abrir o terminal do computador e colar o chamado código de verificação.

Uma vez executado, o comando inicia o ataque.

A Moonlock Lab afirmou que a eficácia do ClickFix reside em forçar a vítima a executar o comando por conta própria.

Como não há download de arquivo suspeito nem exploração automática, muitos controles tradicionais de segurança são contornados.

A firma alegou que um indivíduo usando o nome Mykhailo Hureiev, apresentado como cofundador e sócio-gerente da SolidBit Capital, atuou como contato principal durante a fase de abordagem no LinkedIn.

Extensão do Chrome comprometida

Em um desenvolvimento separado, hackers usaram uma variação do ClickFix por meio de uma extensão do Chrome comprometida.

O QuickLens, uma extensão que permite aos usuários realizar buscas com o Google Lens diretamente no navegador, foi removido da Chrome Web Store depois que se descobriu que estava distribuindo scripts maliciosos.

John Tuckner, fundador da Annex Security, disse em um Feb. 23 report que o QuickLens mudou de proprietário em Feb. 1.

Duas semanas depois, uma versão atualizada foi lançada contendo scripts que iniciavam ataques ClickFix e outras ferramentas para roubo de informações.

Cerca de 7.000 usuários haviam instalado a extensão.

Um March 2 report da eSecurity Planet afirmou que a extensão sequestrada procurava dados de carteiras de criptomoedas e frases-semente para roubar fundos.

Também raspava o conteúdo de caixas de entrada do Gmail, dados de canais do YouTube, credenciais de login e informações de pagamento inseridas em formulários web.

Impacto mais amplo na indústria

A Moonlock Lab disse que os ataques ClickFix ganharam popularidade desde o ano passado porque forçam as vítimas a executar manualmente a carga maliciosa, permitindo que os atacantes contornem muitos sistemas automatizados de detecção.

Pesquisadores têm rastreado o método desde pelo menos 2024.

O Microsoft Threat Intelligence warned in August que observou campanhas que miravam milhares de dispositivos empresariais e de usuários finais globalmente a cada dia.

In July, Unit42 reported que a técnica de engenharia social relativamente nova afetou manufatura, atacado e varejo, governos estaduais e locais, assim como os setores de utilities e energia.