Theo ChainCatcher, Cointelegraph đưa tin rằng hacker đang sử dụng kỹ thuật tấn công "ClickFix" để đánh cắp crypto. Hai vụ tấn công gần đây nhất liên quan đến việc giả mạo công ty đầu tư mạo hiểm và chiếm quyền kiểm soát mở rộng trình duyệt.
Công ty an ninh mạng Moonlock Lab báo cáo rằng những kẻ lừa đảo mạo danh các công ty đầu tư mạo hiểm giả mạo như SolidBit, MegaBit và Lumax Capital đã liên hệ với người dùng qua LinkedIn, đề nghị cơ hội hợp tác và sau đó hướng dẫn họ nhấn các liên kết Zoom và Google Meet giả mạo. Sau khi nhấn các liên kết, người dùng sẽ được chuyển hướng đến một trang có hộp xác minh ngụy tạo"Tôi không phải là bot" của Cloudflare. Nhấn hộp này sẽ sao chép các lệnh độc hại vào clipboard và yêu cầu người dùng mở terminal và dán mã xác minh được cho là có thật, từ đó thực hiện cuộc tấn công.
Moonlock Lab chỉ ra rằng phương pháp này biến nạn nhân thành công cụ thực thi, vượt qua các biện pháp phòng thủ của ngành bảo mật. Trong khi đó, hacker cũng phát tán phần mềm độc hại bằng cách chiếm quyền điều khiển mở rộng QuickLens của Chrome. Mở rộng này cho phép người dùng chạy tìm kiếm Google Lens trực tiếp trong trình duyệt của họ; sau khi quyền sở hữu được chuyển giao, phiên bản mới chứa các tập lệnh độc hại có thể khởi động các cuộc tấn công ClickFix và đánh cắp thông tin.
Mở rộng, được khoảng 7.000 người dùng sử dụng, sẽ tìm kiếm dữ liệu ví crypto và Cụm từ hạt giống để đánh cắp tiền sau khi bị chiếm quyền kiểm soát. Nó cũng sẽ thu thập nội dung hộp thư đến Gmail, dữ liệu kênh YouTube và thông tin đăng nhập hoặc thông tin thanh toán được nhập vào các biểu mẫu trên web. Tiện mở rộng này đã bị xóa khỏi Chrome Web Store. Công nghệ ClickFix, vốn đã phổ biến trong giới hacker từ năm ngoái, buộc nạn nhân phải tự tay thực thi các phần mềm độc hại và đã ảnh hưởng đến hàng nghìn doanh nghiệp và ngành công nghiệp trên toàn thế giới.
