ChainCatcher는 Cointelegraph의 보도를 인용하여 해커들이 "ClickFix" 공격 기법을 사용하여 암호화폐를 탈취하고 있다고 전했습니다. 최근 발생한 두 건의 공격은 벤처 리스크 회사를 사칭하거나 브라우저 확장 프로그램을 탈취하는 방식입니다.
사이버 보안 업체 문록 랩(Moonlock Lab)은 사기꾼들이 솔리드비트(SolidBit), 메가비트(MegaBit), 루맥스 캐피털(Lumax Capital)과 같은 가짜 벤처 캐피털 회사를 사칭하여 링크드인(LinkedIn)을 통해 사용자들에게 협업 기회를 제안한 후 가짜 줌(Zoom) 및 구글 미트(Google Meet) 링크를 클릭하도록 유도했다고 보고했습니다. 링크를 클릭하면 사용자는 가짜 클라우드플레어(Cloudflare) "봇이 아닙니다" 인증 상자가 있는 페이지로 이동합니다. 이 상자를 클릭하면 악성 명령어가 클립보드에 복사되고, 사용자는 터미널을 열어 가짜 인증 코드를 붙여넣어 공격을 실행하게 됩니다.
Moonlock Lab은 이 방법이 피해자를 실행 메커니즘으로 만들어 보안 업계의 방어 체계를 우회한다고 지적합니다. 한편, 해커들은 크롬 확장 프로그램인 QuickLens를 탈취하여 악성코드를 유포하기도 했습니다. 이 확장 프로그램을 통해 사용자는 브라우저에서 직접 Google Lens 검색을 실행할 수 있는데, 소유권이 이전된 후 새 버전에는 ClickFix 공격을 실행하고 정보를 탈취할 수 있는 악성 스크립트가 포함되어 있었습니다.
약 7,000명의 사용자가 이용했던 이 확장 프로그램은 계정이 탈취된 후 암호화된 지갑 데이터와 니모닉 단어 검색하여 자금을 탈취했습니다. 또한 Gmail 받은 편지함 내용, YouTube 채널 데이터, 웹 양식에 입력된 로그인 자격 증명 또는 결제 정보 등을 수집하기도 했습니다. 해당 확장 프로그램은 크롬 웹 스토어에서 삭제되었습니다. 작년부터 해커들 사이에서 인기를 얻고 있는 ClickFix 기술은 피해자가 악성 페이로드를 수동으로 실행하도록 강제하며, 전 세계 수천 개의 기업과 산업에 피해를 입혔습니다.
