ClickFix加密攻击升级：黑客伪装VC诱导会议链接，劫持QuickLens浏览器窃取钱包

3月3日消息，网络安全研究人员披露，一种名为“ClickFix”的加密货币攻击手段正在快速升级。黑客近期通过伪装成风险投资公司，在社交平台接触目标用户，并借助恶意浏览器扩展程序劫持设备，以窃取加密钱包数据和账户信息。

网络安全机构 Moonlock Lab 发布报告称，攻击者创建了多个虚假的投资机构身份，包括 SolidBit、MegaBit 和 Lumax Capital，并通过 LinkedIn 向加密行业从业者发送合作邀请。一旦受害者接受沟通，黑客便会提供所谓的线上会议链接，通常伪装为 Zoom 或 Google Meet。

当用户点击这些链接后，会进入一个仿真的验证页面，其中包含类似 Cloudflare 的“我不是机器人”验证框。点击后系统会自动将恶意命令复制到用户剪贴板，并提示其在电脑终端粘贴所谓的验证码。一旦执行命令，恶意程序便会在设备中运行，从而触发ClickFix攻击。

Moonlock Lab指出，这种攻击方式的危险之处在于它利用社会工程学诱导用户主动执行恶意代码，从而绕过传统安全防护机制。由于没有明显的恶意下载或漏洞利用行为，许多安全系统难以及时识别风险。

调查显示，一名名为 Mykhailo Hureiev 的账户曾以 SolidBit Capital 联合创始人身份与多名用户接触，被认为是早期诈骗联系人之一。不过研究人员表示，该攻击活动具有高度模块化结构，一旦某个身份暴露，攻击者会迅速更换新的虚假身份继续行动。

与此同时，黑客还利用被劫持的浏览器扩展程序扩大攻击范围。安全公司 Annex Security 创始人 John Tuckner 在报告中指出，一款名为 QuickLens 的 Chrome 扩展程序近期被发现植入恶意脚本并从应用商店下架。该插件原本允许用户在浏览器中使用 Google Lens 搜索，但在2月1日更换开发者后，两周内发布了包含恶意代码的新版本。

报告称，该扩展程序拥有约7000名用户，并被用于扫描设备中的加密钱包数据、助记词以及其他敏感信息。同时，恶意脚本还能够读取 Gmail 邮件内容、YouTube 账户数据以及网页表单中的登录信息或支付资料。

安全研究人员指出，ClickFix攻击自2024年以来持续扩散，已经影响制造业、零售业、公共事业及能源行业等多个领域。随着攻击者不断优化社会工程策略，针对加密资产用户的钱包窃取风险也正在明显上升。