加密駭客近期嘗試利用“ClickFix”攻擊來竊取加密資產,現已轉向冒充創投公司並劫持瀏覽器擴充功能作為其最新犯案手法。
據資安公司Moonlock Lab週一發佈的報告,詐騙者正在冒用如SolidBit、MegaBit和Lumax Capital等虛假創投公司名義聯繫使用者。他們透過LinkedIn以合作機會為由與受害者取得聯繫,隨後將對方引導至偽造的Zoom與Google Meet連結。
當目標點擊這些假連結後,會進入一個活動頁面,該頁面配有偽造的Cloudflare“我不是機器人”複選框。使用者點擊後,惡意指令會被複製到剪貼簿,並提示使用者打開電腦終端機貼上所謂的驗證碼,從而完成攻擊指令的執行。
“ClickFix技術正是讓最後一步如此高效的關鍵,”Moonlock Lab團隊表示,“透過讓受害者自行貼上並執行指令,攻擊者成功規避了資安產業多年來建立的防護機制。沒有漏洞利用,也無可疑下載。”
Moonlock Lab表示,一名自稱Mykhailo Hureiev的人(標註為SolidBit Capital聯合創辦人兼管理合夥人)在LinkedIn詐騙初期階段為主要聯絡人。有兩名X使用者也反映與名為Hureiev帳號的可疑對話。
但Moonlock Lab指出,這起詐騙行動的基礎設施極為複雜,設計上可在一處身份曝光時立即切換新身份。
Chrome擴充功能被劫持用於竊取加密資產
同時,加密駭客近期一直在散布帶有“ClickFix”攻擊功能的惡意Chrome擴充功能。
QuickLens是一款允許使用者直接在瀏覽器中使用Google Lens搜尋的擴充功能,自從被用來散布惡意軟體下載後,已從應用商店下架。資安公司Annex Security創辦人John Tuckner在2月23日的報告中表示。
QuickLens於2月1日更換所有權後,兩週後推出的新版本已內嵌惡意腳本,發動ClickFix攻擊並植入竊取資訊工具。Tuckner指出,該擴充功能用戶約有7000人。
據報導,這款被劫持的擴充功能會蒐集加密錢包資料和助記詞以竊取資產。此外,還竊取Gmail信箱內容、YouTube頻道資料及網頁表單中輸入的登入與支付資訊,據eSecurity Planet 3月2日報導。
ClickFix攻擊已波及多個產業
Moonlock Lab表示,自去年以來,ClickFix技術因能讓受害者手動執行惡意載荷,繞過常規資安工具,受到威脅者青睞。
但資安研究人員自至少2024年開始已對其持續追蹤,涉及目標涵蓋多個產業。
微軟威脅情報團隊於去年8月發出警告,指每日已在全球追蹤到“針對數千企業及終端設備的行動”。
同時,網路威脅情報公司Unit42於去年7月報告稱,這一“相對較新的社交工程技術”正在波及製造業、批發零售業、州及地方政府、公用事業和能源等產業。
