ClickFix ataque de criptomonedas actualizado: hackers disfrazados de VC inducen enlaces de reuniones, secuestran QuickLens navegador para robar billeteras

El 3 de marzo, investigadores de ciberseguridad revelaron que un método de ataque a criptomonedas llamado “ClickFix” está aumentando rápidamente. Recientemente, los hackers han contactado con usuarios objetivo en plataformas sociales disfrazándose de firmas de capital riesgo y secuestrando dispositivos con la ayuda de extensiones maliciosas del navegador para robar datos de monederos cripto e información de cuentas.

La agencia de ciberseguridad Moonlock Lab publicó un informe en el que afirma que los atacantes crearon múltiples identidades falsas de instituciones de inversión, incluyendo SolidBit, MegaBit y Lumax Capital, y enviaron invitaciones a profesionales de la industria cripto a través de LinkedIn para colaborar. Una vez que la víctima acepta la comunicación, los hackers proporcionan un enlace a una llamada reunión en línea, a menudo disfrazada de Zoom o Google Meet.

Cuando los usuarios hacen clic en estos enlaces, se les lleva a una página de verificación simulada con una casilla de verificación similar a la de Cloudflare de “No soy un robot”. Tras hacer clic, el sistema copiará automáticamente el comando malicioso al portapapeles del usuario y le pedirá que pegue el llamado código de verificación en el terminal del ordenador. Una vez ejecutado el comando, el programa malicioso se ejecuta en el dispositivo, desencadenando el ataque ClickFix.

Moonlock Lab señala que el peligro de este método de ataque es que utiliza ingeniería social para inducir a los usuarios a ejecutar código malicioso activamente, saltándose así los mecanismos de seguridad tradicionales. Sin descargas o exploits maliciosos evidentes, muchos sistemas de seguridad tienen dificultades para identificar riesgos de forma oportuna.

La investigación reveló que una cuenta llamada Mykhailo Hureiev había estado en contacto con varios usuarios como cofundador de SolidBit Capital y se creía que fue uno de los primeros contactos de estafa. Sin embargo, los investigadores afirmaron que la campaña de ataque tiene una estructura altamente modular y, una vez que se expone una identidad, el atacante cambiará rápidamente a una nueva identidad falsa para seguir operando.

Al mismo tiempo, los hackers también están utilizando extensiones de navegador secuestradas para ampliar el alcance de sus ataques. John Tuckner, fundador de la empresa de seguridad Annex Security, señaló en el informe que recientemente se descubrió que una extensión de Chrome llamada QuickLens estaba equipada con scripts maliciosos y fue eliminada de la tienda de aplicaciones. El plugin originalmente permitía a los usuarios buscar con Google Lens en el navegador, pero tras cambiar de desarrollador el 1 de febrero, se publicó una nueva versión con código malicioso en menos de dos semanas.

La extensión cuenta con unos 7.000 usuarios y se está utilizando para escanear dispositivos en busca de datos de monederos cripto, frases semilla y otra información sensible, según el informe. Los scripts maliciosos también pueden leer el contenido de correos electrónicos de Gmail, datos de cuentas de YouTube e información de inicio de sesión o pago en formularios web.

Investigadores de seguridad señalaron que los ataques ClickFix han seguido extendiéndose desde 2024 y han afectado a muchos sectores como la manufactura, el comercio minorista, las compañías eléctricas y la energía. A medida que los atacantes continúan optimizando sus tácticas de ingeniería social, el riesgo de robo de carteras dirigido a usuarios de criptoactivos también está aumentando significativamente.