Криптовалютні хакери, які намагаються використати атаки «ClickFix» для викрадення криптовалюти, тепер у своїх двох останніх атаках почали видавати себе за компанії венчурного капіталу та викрадення розширень браузера.
Відповідно до звіту компанії з кібербезпеки Moonlock Lab у понеділок, шахраї використовують фальшиві фірми венчурного капіталу, такі як SolidBit, MegaBit і Lumax Capital. Хакери використовують фірми для зв’язку з користувачами через LinkedIn із пропозиціями про партнерство, а потім направляють їх на підроблені посилання Zoom і Google Meet.
Коли ціль натискає шахрайське посилання, він потрапляє на сторінку події з підробленим прапорцем Cloudflare «Я не робот». Натискання на нього копіює зловмисну команду в буфер обміну та пропонує користувачеві відкрити термінал свого комп’ютера та вставити так званий код підтвердження, який виконує атаку.
«Техніка ClickFix робить останній крок таким ефективним», — сказала команда Moonlock Lab.”Перетворюючи жертву на механізм виконання, змушуючи її вставляти та запускати команду самостійно, зловмисники обходять ті самі засоби контролю, які індустрія безпеки розробляла роками. Ніякого експлойту. Ніякого підозрілого завантаження”.
Moonlock Lab стверджує, що особа під ім’ям Михайло Гурєєв, вказана як співзасновник і керуючий партнер SolidBit Capital, була основною контактною особою на початковому етапі афери LinkedIn. Два користувача X також повідомили про підозрілі розмови з обліковим записом Hureiev.
Однак Moonlock Lab зазначає, що інфраструктура кампанії є складною та розроблена для ротації ідентичностей, щойно один фронт викривається.
Розширення Chrome зламали, щоб викрасти криптовалюту
Тим часом хакери криптовалюти донедавна поширювали шкідливе розширення Chrome із кутом атаки «ClickFix».
QuickLens, розширення, яке дозволяє користувачам запускати пошук Google Lens безпосередньо у своєму браузері, було видалено з веб-магазину після того, як воно було скомпрометовано з метою просування зловмисного програмного забезпечення, повідомив Джон Такнер, засновник фірми з кібербезпеки Annex Security, у звіті від 23 лютого.
Після того, як QuickLens змінив власника 1 лютого, через два тижні була випущена нова версія, яка містила шкідливі сценарії, які запускали атаки ClickFix та інші інструменти для крадіжки інформації. Такнер зазначив, що розширення має близько 7000 користувачів.
Як повідомляється, захоплене розширення шукало дані гаманця криптовалюти та вихідні фрази для викрадення коштів. Згідно зі звітом eSecurity Planet від 2 березня, він також позбирав вміст скриньок Gmail, дані каналів YouTube та інші облікові дані для входу або платіжну інформацію, введену у веб-форми.
Атаки ClickFix використовуються для націлювання на багато галузей
За даними Moonlock Lab, техніка ClickFix набула популярності серед зловмисників з минулого року, оскільки вона змушує жертв виконувати зловмисне навантаження вручну, минаючи стандартні інструменти безпеки.
Проте дослідники безпеки відстежують його використання принаймні з 2024 року, при цьому цілі охоплюють широкий спектр галузей.
У серпні минулого року служба Microsoft Threat Intelligence попередила, що вона щодня відстежувала «кампанії, націлені на тисячі корпоративних і кінцевих пристроїв по всьому світу».
Тим часом компанія Unit42, яка займається аналізом кіберзагроз, у липні минулого року повідомила, що «відносно нова техніка соціальної інженерії» впливає на такі галузі, як виробництво, оптова та роздрібна торгівля, державні та місцеві органи влади, а також комунальні послуги та енергетика.
