Автор Chao Cheng Zedong тема Новости

Хакеры ClickFix маскируются под венчурные фонды и взламывают расширения браузера для кражи криптовалют

Хакеры ClickFix маскируются под венчурные фонды и взламывают расширения браузера для кражи криптовалют

Криптомошенники, использующие схему ClickFix для кражи средств, в последних атаках начали выдавать себя за венчурные компании и захватывать популярные расширения браузера.

По данным Moonlock Lab, злоумышленники создают фальшивые венчурные фонды — например SolidBit, MegaBit и Lumax Capital — и выходят на людей через LinkedIn с предложениями о партнерстве. Далее жертв переводят на поддельные ссылки Zoom или Google Meet.

После перехода по такой ссылке пользователь попадает на страницу мероприятия с фейковой проверкой Cloudflare «I’m not a robot». Нажатие на чекбокс копирует в буфер обмена вредоносную команду и предлагает открыть терминал на компьютере и вставить «код проверки», который и запускает атаку.

В Moonlock Lab отмечают, что ключевая особенность ClickFix — заставить жертву самостоятельно выполнить команду, тем самым обходя многие защитные механизмы: без эксплойтов и без подозрительных загрузок.

Также Moonlock Lab утверждает, что в начальной стадии переписки в LinkedIn одним из основных контактов выступал аккаунт человека под именем Mykhailo Hureiev, указанного как сооснователь и управляющий партнер SolidBit Capital. Двое пользователей X сообщали о подозрительных диалогах с аккаунтом Hureiev.

Пользователь под именем Mykhailo Hureiev, предположительно, был основным контактом на этапе общения в LinkedIn. Источник: big dan

При этом исследователи подчеркивают, что инфраструктура кампании устроена достаточно сложно и позволяет быстро менять личности и «витрины» после их разоблачения.

Взлом расширения Chrome для кражи криптовалюты

Параллельно хакеры распространяли вредоносное расширение для Chrome, также используя элементы схемы ClickFix.

Расширение QuickLens, позволяющее запускать поиск через Google Lens прямо в браузере, было удалено из магазина после того, как его скомпрометировали для распространения вредоносного ПО, сообщил основатель Annex Security Джон Такнер в отчете от 23 февраля.

После смены владельца QuickLens 1 февраля через две недели вышла новая версия, в которую добавили вредоносные скрипты, запускавшие атаки ClickFix и другие инструменты для кражи данных. По оценке Такнера, расширением пользовались около 7 000 человек.

QuickLens удалили из магазина после компрометации и распространения вредоносного ПО. Источник: Annex Security

Как пишет eSecurity Planet, взломанное расширение искало данные криптокошельков и seed-фразы для кражи средств. Также оно могло собирать содержимое писем в Gmail, данные YouTube-каналов и другие учетные данные или платежную информацию, вводимую в веб-формах.

ClickFix применяют против разных отраслей

В Moonlock Lab считают, что ClickFix стал популярнее с прошлого года, поскольку принуждает жертву вручную запускать вредоносную нагрузку, обходя стандартные средства защиты.

Исследователи безопасности отслеживают применение этой техники как минимум с 2024 года, причем цели встречаются в самых разных сферах.

Microsoft Threat Intelligence предупреждала в августе прошлого года, что наблюдает кампании, нацеленные на тысячи корпоративных и пользовательских устройств по всему миру ежедневно.

В свою очередь, Unit42 сообщала в июле прошлого года, что эта сравнительно новая социально-инженерная техника затронула такие отрасли, как производство, оптовая и розничная торговля, государственные и муниципальные структуры, а также энергетика и коммунальные службы.

Источник: Moonlock Lab, Annex Security, eSecurity Planet, Microsoft Threat Intelligence, Unit42