Обновление атаки ClickFix: хакеры маскируются под VC, чтобы заманить на встречу, захватывают браузер QuickLens и крадут кошельки

3 марта исследователи в области кибербезопасности сообщили, что метод криптовалютной атаки под названием «ClickFix» быстро набирает обороты. В последнее время хакеры обращаются к целевым пользователям на социальных платформах, маскируясь под венчурные компании и захватывая устройства с помощью вредоносных расширений браузера, чтобы украсть данные криптокошельков и информацию о аккаунтах.

Агентство по кибербезопасности Moonlock Lab опубликовало отчёт, в котором говорится, что злоумышленники создали несколько поддельных идентификаторов инвестиционных учреждений, включая SolidBit, MegaBit и Lumax Capital, и отправили приглашения практикам криптоиндустрии через LinkedIn к совместной работе. После того как жертва принимает переписку, хакеры предоставляют ссылку на так называемую онлайн-встречу, часто замаскированную под Zoom или Google Meet.

Когда пользователи переходят по этим ссылкам, они попадают на имитированную страницу верификации с окном проверки в стиле Cloudflare: «Я не робот». После нажатия система автоматически скопирует вредоносную команду в буфер обмена и предлагает вставить так называемый код проверки на терминал компьютера. После выполнения команды вредоносная программа запускается на устройстве, запуская атаку ClickFix.

Moonlock Lab отмечает, что опасность этого метода атаки заключается в том, что он использует социальную инженерию, чтобы заставить пользователей активно выполнять вредоносный код, тем самым обходя традиционные механизмы безопасности. Без явных вредоносных загрузок или эксплойтов многие системы безопасности испытывают трудности с своевременной выявлением рисков.

Расследование выявило, что аккаунт по имени Михаил Гуреев контактировал с несколькими пользователями как соучредитель SolidBit Capital и, как полагается, был одним из первых контактов мошенничества. Однако исследователи отметили, что атака имеет очень модульную структуру, и как только личность раскрывается, злоумышленник быстро меняет новую фальшивую личность, чтобы продолжить работу.

В то же время хакеры используют захваченные расширения браузера для расширения масштабов своих атак. Джон Такнер, основатель компании Annex Security, отметил в отчёте, что недавно было обнаружено расширение для Chrome под названием QuickLens, которое было установлено вредоносным скриптом и удалено из магазина приложений. Изначально плагин позволял пользователям искать с помощью Google Lens в браузере, но после смены разработчиков 1 февраля в течение двух недель была выпущена новая версия с вредоносным кодом.

Расширение насчитывает около 7 000 пользователей и используется для сканирования устройств на предмет данных криптокошелька, seed-фраз и другой конфиденциальной информации, согласно отчету. Вредоносные скрипты также могут читать содержимое электронной почты Gmail, данные аккаунта YouTube, а также данные о входе или платеже в веб-формах.

Исследователи в области безопасности отметили, что атаки ClickFix продолжают распространяться с 2024 года и затронули многие отрасли, такие как производство, розничная торговля, коммунальные услуги и энергетика. По мере того как злоумышленники продолжают оптимизировать свои тактики социальной инженерии, риск кражи кошелька с целью пользователей криптоактивов также значительно возрастает.