Mise à niveau de l'attaque cryptographique ClickFix : les hackers déguisés en VC induisent en erreur avec des liens de réunion, prennent le contrôle du navigateur QuickLens et volent des portefeuilles

Le 3 mars, des chercheurs en cybersécurité ont révélé qu’une méthode d’attaque crypto-américaine appelée « ClickFix » est en pleine escalade. Des hackers ont récemment contacté des utilisateurs ciblés sur les plateformes sociales en se faisant passer pour des sociétés de capital-risque et en détournant des appareils à l’aide d’extensions malveillantes pour voler des données de portefeuilles crypto et des informations de compte.

L’agence de cybersécurité Moonlock Lab a publié un rapport indiquant que les attaquants ont créé plusieurs fausses identités d’institutions d’investissement, dont SolidBit, MegaBit et Lumax Capital, et ont envoyé des invitations à des professionnels de l’industrie crypto via LinkedIn pour collaborer. Une fois que la victime accepte la communication, les hackers fournissent un lien vers une soi-disant réunion en ligne, souvent déguisée en Zoom ou Google Meet.

Lorsque les utilisateurs cliquent sur ces liens, ils sont dirigés vers une page de vérification simulée avec une case de vérification « Je ne suis pas un robot » à la Cloudflare. Après avoir cliqué, le système copie automatiquement la commande malveillante sur le clipboard de l’utilisateur et lui demande de coller le soi-disant code de vérification sur le terminal informatique. Une fois la commande exécutée, le programme malveillant s’exécute dans l’appareil, déclenchant l’attaque ClickFix.

Moonlock Lab souligne que le danger de cette méthode d’attaque est qu’elle utilise l’ingénierie sociale pour inciter les utilisateurs à exécuter activement du code malveillant, contournant ainsi les mécanismes de sécurité traditionnels. Sans téléchargements ou exploits malveillants évidents, de nombreux systèmes de sécurité peinent à identifier les risques en temps voulu.

L’enquête a révélé qu’un compte nommé Mykhailo Hureiev avait été en contact avec plusieurs utilisateurs en tant que cofondateur de SolidBit Capital et était considéré comme l’un des premiers contacts d’arnaque. Cependant, les chercheurs ont indiqué que la campagne d’attaque a une structure très modulaire, et qu’une fois une identité révélée, l’attaquant changera rapidement pour une nouvelle fausse identité afin de continuer à opérer.

Parallèlement, les hackers utilisent également des extensions de navigateur détournées pour étendre la portée de leurs attaques. John Tuckner, fondateur de la société de sécurité Annex Security, a noté dans le rapport qu’une extension Chrome appelée QuickLens a récemment été retrouvée avec des scripts malveillants et retirée de l’App Store. Le plugin permettait initialement aux utilisateurs de rechercher avec Google Lens dans le navigateur, mais après avoir changé de développeur le 1er février, une nouvelle version contenant du code malveillant a été publiée en moins de deux semaines.

L’extension compte environ 7 000 utilisateurs et est utilisée pour scanner les appareils à la recherche de données de portefeuilles crypto, de phrases de départ et d’autres informations sensibles, selon le rapport. Les scripts malveillants peuvent également lire le contenu des emails Gmail, les données des comptes YouTube, ainsi que les informations de connexion ou de paiement via des formulaires web.

Les chercheurs en sécurité ont souligné que les attaques ClickFix ont continué de se propager depuis 2024 et ont touché de nombreux secteurs tels que la fabrication, la vente au détail, les services publics et l’énergie. Alors que les attaquants continuent d’optimiser leurs tactiques d’ingénierie sociale, le risque de vol de portefeuille ciblant les utilisateurs d’actifs cryptographiques augmente également de manière significative.