Kryptohackare utnyttjar ClickFix via falsk riskkapitalkontakt

Kryptobrottslingar förfinar social engineering-taktiker för att kringgå traditionella säkerhetsverktyg och använder falska kontakter från riskkapitalbolag för att implementera en teknik som kallas ClickFix.

Forskare uppger att angripare utger sig för att vara investeringsfirmor på LinkedIn, lockar användare till bedrägliga videomöten och lurar dem att köra skadliga kommandon på sina egna enheter.

Metoden undviker konventionella nedladdningar av skadlig programvara genom att förlita sig på att offren manuellt kör skadlig kod.

Parallellt med den falska investerarkampanjen har ett komprometterat Chrome-tillägg också använts för att sprida liknande attacker, vilket breddar taktiken bortom rena direktmeddelandebedrägerier.

Falska VC-identiteter

Enligt en rapport från Moonlock Lab, har bedragare skapat falska riskkapitalvarumärken inklusive SolidBit, MegaBit och Lumax Capital.

Angripare kontaktar mål via LinkedIn med förslag om partnerskap och inbjudningar att diskutera investeringsmöjligheter.

Offren leds till vad som ser ut att vara Zoom- eller Google Meet-länkar.

Istället för ett möte hamnar de på en bedräglig eventsida med ett falskt Cloudflare-verifieringssteg med en 'I am not a robot'-checkbox.

Genom att klicka i rutan kopieras ett skadligt kommando till urklipp. Sidan instruerar sedan användaren att öppna sin dators terminal och klistra in den så kallade verifieringskoden.

När kommandot körs startar attacken.

Moonlock Lab uppgav att ClickFix effektivitet ligger i att tvinga målet att själv köra kommandot.

Eftersom det inte finns någon misstänkt filnedladdning eller automatisk exploit kringgås många traditionella säkerhetskontroller.

Företaget uppgav att en individ som använde namnet Mykhailo Hureiev, presenterad som medgrundare och verkställande partner på SolidBit Capital, agerade som huvudkontakt under LinkedIn-utskicket.

Komprometterat Chrome-tillägg

I en separat händelse använde hackare en liknande ClickFix-vinkel via ett komprometterat Chrome-tillägg.

QuickLens, ett tillägg som låter användare göra Google Lens-sökningar direkt i webbläsaren, togs bort från Chrome Web Store efter att det upptäcktes att det distribuerade skadliga skript.

John Tuckner, grundare av Annex Security, sade i en Feb. 23 report att QuickLens bytte ägare den Feb. 1.

Två veckor senare släpptes en uppdaterad version som innehöll skript som startade ClickFix-attacker och andra informationsstöldsverktyg.

Cirka 7 000 användare hade installerat tillägget.

A March 2 report by eSecurity Planet stated that the hijacked extension searched for crypto wallet data and seed phrases to steal funds.

Det skrapade även innehåll från Gmail-inkorgar, data från YouTube-kanaler, inloggningsuppgifter och betalningsinformation som matades in i webbformulär.

Bredare branschpåverkan

Moonlock Lab sade att ClickFix-attacker har blivit vanligare sedan förra året eftersom de tvingar offren att manuellt exekvera den skadliga payloaden, vilket gör att angriparna kan kringgå många automatiska detektionssystem.

Forskare har spårat metoden sedan åtminstone 2024.

Microsoft Threat Intelligence varnade i augusti att man observerade kampanjer som varje dag riktade sig mot tusentals företags- och slutanvändarenheter globalt.

I juli rapporterade Unit42 att den relativt nya social engineering-tekniken påverkade tillverkning, grossist- och detaljhandel, statliga och lokala myndigheter samt verksamheter inom allmännyttiga tjänster och energisektorn.