Техника ClickFix приобрела популярность среди криптовалютных хакеров в прошлом году, однако специалисты по кибербезопасности отслеживают её с 2024 года, охватывая цели в разных отраслях.
Мошенники используют имитацию венчурных капитальных компаний
Криптохакеры, применяющие методику ClickFix для кражи криптовалюты, в последних двух атаках начали маскироваться под венчурные компании и захватывать браузерные расширения.
По информации отчёта исследовательской компании Moonlock Lab от понедельника, злоумышленники выдают себя за фиктивные венчурные фирмы SolidBit, MegaBit и Lumax Capital. Через эти компании хакеры связываются с пользователями на LinkedIn с предложениями о сотрудничестве, направляя их на поддельные ссылки Zoom и Google Meet.
При переходе по фальшивой ссылке жертва попадает на страницу с ложной капчей Cloudflare «Я не робот». Нажатие на неё копирует в буфер обмена вредоносную команду, затем пользователю предлагают открыть терминал компьютера и вставить этот так называемый код подтверждения, что запускает атаку.
«Техника ClickFix обеспечивает высокую эффективность последнего шага», — отмечают специалисты Moonlock Lab. — «Поскольку жертва сама выполняет вредоносную команду, злоумышленники обходят механизмы защиты, разработанные годами в отрасли безопасности. Отсутствуют эксплойты и подозрительные загрузки».
Moonlock Lab также утверждает, что человек под именем Михаило Гуриев, указанный как сооснователь и управляющий партнёр SolidBit Capital, выступает главным контактным лицом на этапе LinkedIn-общения. Несколько пользователей платформы X сообщили о подозрительных диалогах с аккаунтом Гуриева.
Однако в отчёте подчёркивается, что инфраструктура мошенников сложна и предусматривает смену персонажей при раскрытии очередного мошеннического элемента.
Захват расширения QuickLens для кражи данных
До недавнего времени хакеры распространяли вредоносное расширение Chrome под видом атаки ClickFix.
QuickLens — расширение, позволяющее выполнять Google Lens-поиски прямо в браузере — было удалено из магазина расширений после взлома, сообщает в отчёте от 23 февраля Джон Такнер, основатель компании Annex Security.
После изменения владельца QuickLens 1 февраля, через две недели вышла новая версия с вредоносными скриптами, запускавшими ClickFix-атаки и инструменты кражи информации. Такнер отметил, что у расширения было около 7 000 пользователей.
Захваченное расширение искало данные криптовалютных кошельков и seed-фразы для кражи средств, а также собирало содержимое почтовых ящиков Gmail, информацию о каналах YouTube и прочие учётные данные и платежные данные, введённые в веб-формы, сообщает eSecurity Planet 2 марта.
Распространение техники ClickFix среди угроз
По данным Moonlock Lab, ClickFix набирает обороты с прошлого года, так как заставляет жертв вручную выполнять вредоносное программное обеспечение, обходя стандартные методы защиты.
Эксперты Microsoft Threat Intelligence сообщили в августе прошлого года о полномасштабных кампаниях, нацеленных ежедневно на тысячи корпоративных и пользовательских устройств по всему миру.
Тем временем компания Unit42 в июле прошлого года отмечала, что данная «относительно новая техника социальной инженерии» затрагивает такие отрасли, как производство, оптовая и розничная торговля, государственные учреждения, а также сферы коммунальных услуг и энергетики.
Техника ClickFix продолжает эволюционировать и представлять угрозу благодаря тому, что жертвы выполняют вредоносные команды самостоятельно. Следует ожидать, что мошенники продолжат адаптировать свои методы, используя более изощрённые способы маскировки своих атак.
