ClickFix Krypto-Angriffs-Upgrade: Hacker tarnen VC, um Meeting-Links zu verleiten, hijacken QuickLens-Browser und stehlen Wallets

Am 3. März gaben Cybersicherheitsforscher bekannt, dass eine Kryptowährungsangriffsmethode namens “ClickFix” rapide eskaliert. Kürzlich haben Hacker gezielte Nutzer auf sozialen Plattformen erreicht, indem sie sich als Risikokapitalfirmen tarnten und mithilfe bösartiger Browser-Erweiterungen Geräte kapern, um Krypto-Wallet-Daten und Kontoinformationen zu stehlen.

Die Cybersicherheitsbehörde Moonlock Lab veröffentlichte einen Bericht, in dem besagt, dass Angreifer mehrere gefälschte Identitäten von Investmentinstituten erstellt haben, darunter SolidBit, MegaBit und Lumax Capital, und über LinkedIn Einladungen an Praktiker der Kryptobranche zur Zusammenarbeit verschickt haben. Sobald das Opfer die Mitteilung akzeptiert, stellen die Hacker einen Link zu einem sogenannten Online-Meeting bereit, das oft als Zoom oder Google Meet getarnt ist.

Wenn Nutzer auf diese Links klicken, gelangen sie zu einer simulierten Verifizierungsseite mit einem Cloudflare-ähnlichen “Ich bin kein Roboter”-Verifizierungsbox. Nach dem Klicken kopiert das System den bösartigen Befehl automatisch in die Zwischenablage des Benutzers und fordert ihn auf, den sogenannten Verifizierungscode auf das Computerterminal einzufügen. Sobald der Befehl ausgeführt wurde, läuft das bösartige Programm auf dem Gerät und löst den ClickFix-Angriff aus.

Moonlock Lab weist darauf hin, dass die Gefahr dieser Angriffsmethode darin besteht, dass sie Social Engineering nutzt, um Nutzer dazu zu bringen, aktiv bösartigen Code auszuführen und so traditionelle Sicherheitsmechanismen zu umgehen. Ohne offensichtliche bösartige Downloads oder Exploits haben viele Sicherheitssysteme Schwierigkeiten, Risiken rechtzeitig zu erkennen.

Die Untersuchung ergab, dass ein Account namens Mykhailo Hureiev als Mitbegründer von SolidBit Capital mit mehreren Nutzern in Kontakt stand und als einer der ersten Betrugskontakte galt. Die Forscher sagten jedoch, dass die Angriffskampagne eine hochgradig modulare Struktur aufweist, und sobald eine Identität enthüllt ist, wechselt der Angreifer schnell zu einer neuen falschen Identität, um weiterzuarbeiten.

Gleichzeitig nutzen Hacker auch kaperte Browser-Erweiterungen, um den Umfang ihrer Angriffe zu erweitern. John Tuckner, Gründer der Sicherheitsfirma Annex Security, bemerkte im Bericht, dass kürzlich eine Chrome-Erweiterung namens QuickLens mit bösartigen Skripten belegt und aus dem App Store entfernt wurde. Das Plugin ermöglichte es den Nutzern ursprünglich, mit Google Lens im Browser zu suchen, aber nach einem Entwicklerwechsel am 1. Februar wurde innerhalb von zwei Wochen eine neue Version mit bösartigem Code veröffentlicht.

Die Erweiterung hat etwa 7.000 Nutzer und wird laut dem Bericht verwendet, um Geräte nach Krypto-Wallet-Daten, Seed-Phrasen und anderen sensiblen Informationen zu scannen. Bösartige Skripte können außerdem Gmail-E-Mail-Inhalte, YouTube-Kontodaten sowie Login- oder Zahlungsinformationen in Webformularen lesen.

Sicherheitsforscher wiesen darauf hin, dass ClickFix-Angriffe seit 2024 weiterhin verbreitet sind und viele Branchen wie Fertigung, Einzelhandel, Versorgungsunternehmen und Energie betroffen haben. Während Angreifer weiterhin ihre Social-Engineering-Taktiken optimieren, steigt auch das Risiko von Wallet-Diebstahl gegen Nutzer von Krypto-Vermögenswerten erheblich.