Hackeri crypto exploatează ClickFix prin contacte false de tip venture capital

Criminalii din lumea criptomonedelor rafinează tacticile de inginerie socială pentru a ocoli instrumentele de securitate tradiționale, folosind contacte false de tip venture capital pentru a pune în aplicare o tehnică cunoscută sub numele de ClickFix.

Cercetătorii spun că atacatorii se dau drept firme de investiții pe LinkedIn, ademenind utilizatorii în apeluri video frauduloase și păcălindu-i să ruleze comenzi malițioase pe propriile dispozitive.

Metoda evită descărcările convenționale de malware bazându-se pe faptul că victimele execută manual codul periculos.

Pe lângă campania cu investitori falși, o extensie Chrome compromisă a fost folosită pentru a răspândi atacuri similare, extinzând tactica dincolo de escrocheriile prin mesaje directe.

Identități VC false

Potrivit unui raport al Moonlock Lab, escrocii au creat branduri de venture capital false, printre care SolidBit, MegaBit și Lumax Capital.

Atacatorii abordează țintele pe LinkedIn cu propuneri de parteneriat și invitații de a discuta oportunități de investiții.

Victimele sunt direcționate către linkuri care par a fi Zoom sau Google Meet.

În loc de o întâlnire, ajung pe o pagină de eveniment frauduloasă care include un pas fals de verificare Cloudflare cu o casetă "I am not a robot".

Clickarea casetei copiază o comandă malițioasă în clipboard. Pagina apoi le cere utilizatorilor să deschidă terminalul computerului și să lipească așa-numitul cod de verificare.

Odată executată, comanda declanșează atacul.

Moonlock Lab a declarat că eficacitatea ClickFix constă în forțarea țintei de a executa comanda ei înșiși.

Deoarece nu există o descărcare suspectă de fișiere sau un exploit automat, multe controale tradiționale de securitate sunt ocolite.

Firma a susținut că o persoană care folosea numele Mykhailo Hureiev, prezentată ca cofondator și partener executiv la SolidBit Capital, a acționat ca principal contact în etapa de contactare pe LinkedIn.

Compromiterea unei extensii Chrome

Într-o evoluție separată, hackerii au folosit o abordare ClickFix similară printr-o extensie Chrome compromisă.

QuickLens, o extensie care permite utilizatorilor să ruleze căutări Google Lens direct în browser, a fost eliminată din Chrome Web Store după ce s-a constatat că distribuia scripturi malițioase.

John Tuckner, fondatorul Annex Security, a spus într-un Feb. 23 report că QuickLens a schimbat proprietatea pe Feb. 1.

Două săptămâni mai târziu, a fost lansată o versiune actualizată care conținea scripturi ce declanșau atacuri ClickFix și alte instrumente de sustragere a informațiilor.

Aproximativ 7.000 de utilizatori instalaseră extensia.

Un March 2 report al eSecurity Planet a afirmat că extensia deturnată căuta date ale portofelelor cripto și fraze seed pentru a fura fonduri.

A mai cules conținutul căsuțelor Gmail, datele canalelor YouTube, acreditările de autentificare și informațiile de plată introduse în formularele web.

Impact mai larg asupra industriei

Moonlock Lab a afirmat că atacurile ClickFix au câștigat popularitate de anul trecut deoarece obligă victimele să execute manual payload-ul malițios, permițând atacatorilor să ocolească multe sisteme automate de detecție.

Cercetătorii au urmărit metoda cel puțin din 2024.

Microsoft Threat Intelligence a avertizat în August că a observat campanii care vizau zilnic mii de dispozitive ale întreprinderilor și ale utilizatorilor finali la nivel global.

În July, Unit42 a raportat că tehnica relativ nouă de inginerie socială a afectat sectorul manufacturier, comerțul angro și cu amănuntul, guvernele statale și locale, precum și utilitățile și sectorul energetic.