Serangan Enkripsi ClickFix Tingkat Lanjut: Peretas menyamar sebagai VC untuk menipu tautan rapat, merebut browser QuickLens dan mencuri dompet

Pada 3 Maret, peneliti keamanan siber mengungkapkan bahwa metode serangan cryptocurrency yang disebut “ClickFix” meningkat pesat. Peretas baru-baru ini menjangkau pengguna yang ditargetkan di platform sosial dengan menyamar sebagai perusahaan modal ventura dan membajak perangkat dengan bantuan ekstensi browser berbahaya untuk mencuri data dompet kripto dan informasi akun.

Badan keamanan siber Moonlock Lab merilis laporan yang menyatakan bahwa penyerang membuat beberapa identitas lembaga investasi palsu, termasuk SolidBit, MegaBit, dan Lumax Capital, dan mengirim undangan kepada praktisi industri kripto melalui LinkedIn untuk berkolaborasi. Setelah korban menerima komunikasi, peretas memberikan tautan ke apa yang disebut pertemuan online, sering menyamar sebagai Zoom atau Google Meet.

Saat pengguna mengklik tautan ini, mereka dibawa ke halaman verifikasi simulasi dengan kotak verifikasi “Saya bukan robot” seperti Cloudflare. Setelah mengklik, sistem akan secara otomatis menyalin perintah berbahaya ke clipboard pengguna dan memintanya untuk menempelkan apa yang disebut kode verifikasi di terminal komputer. Setelah perintah dijalankan, program berbahaya berjalan di perangkat, memicu serangan ClickFix.

Moonlock Lab menunjukkan bahwa bahaya dari metode serangan ini adalah menggunakan rekayasa sosial untuk mendorong pengguna secara aktif mengeksekusi kode berbahaya, sehingga melewati mekanisme keamanan tradisional. Tanpa unduhan atau eksploitasi berbahaya yang jelas, banyak sistem keamanan berjuang untuk mengidentifikasi risiko tepat waktu.

Investigasi mengungkapkan bahwa sebuah akun bernama Mykhailo Hureiev telah berhubungan dengan banyak pengguna sebagai salah satu pendiri SolidBit Capital dan diyakini sebagai salah satu kontak penipuan awal. Namun, para peneliti mengatakan bahwa kampanye serangan memiliki struktur yang sangat modular, dan begitu identitas terungkap, penyerang akan dengan cepat berubah ke identitas palsu baru untuk terus beroperasi.

Pada saat yang sama, peretas juga menggunakan ekstensi browser yang dibajak untuk memperluas cakupan serangan mereka. John Tuckner, pendiri perusahaan keamanan Annex Security, mencatat dalam laporan bahwa ekstensi Chrome yang disebut QuickLens baru-baru ini ditemukan ditanami dengan skrip berbahaya dan dihapus dari toko aplikasi. Plugin ini awalnya memungkinkan pengguna untuk mencari dengan Google Lens di browser, tetapi setelah berganti pengembang pada 1 Februari, versi baru yang berisi kode berbahaya dirilis dalam waktu dua minggu.

Ekstensi ini memiliki sekitar 7.000 pengguna dan digunakan untuk memindai perangkat untuk data dompet kripto, frasa benih, dan informasi sensitif lainnya, menurut laporan tersebut. Skrip berbahaya juga dapat membaca konten email Gmail, data akun YouTube, dan informasi login atau pembayaran dalam formulir web.

Peneliti keamanan menunjukkan bahwa serangan ClickFix terus menyebar sejak 2024 dan telah memengaruhi banyak sektor seperti manufaktur, ritel, utilitas, dan energi. Karena penyerang terus mengoptimalkan taktik rekayasa sosial mereka, risiko pencurian dompet yang menargetkan pengguna aset kripto juga meningkat secara signifikan.