Tấn công mã hóa ClickFix nâng cấp: Hacker giả mạo VC để lừa dẫn liên kết cuộc họp, chiếm đoạt trình duyệt QuickLens để trộm ví

Vào ngày 3 tháng 3, các nhà nghiên cứu an ninh mạng tiết lộ rằng một phương pháp tấn công tiền điện tử được gọi là “ClickFix” đang leo thang nhanh chóng. Tin tặc gần đây đã tiếp cận với những người dùng được nhắm mục tiêu trên các nền tảng xã hội bằng cách cải trang thành các công ty đầu tư mạo hiểm và chiếm quyền điều khiển thiết bị với sự trợ giúp của các tiện ích mở rộng trình duyệt độc hại để đánh cắp dữ liệu ví tiền điện tử và thông tin tài khoản.

Cơ quan an ninh mạng Moonlock Lab đã phát hành một báo cáo nói rằng những kẻ tấn công đã tạo ra nhiều danh tính tổ chức đầu tư giả mạo, bao gồm SolidBit, MegaBit và Lumax Capital, đồng thời gửi lời mời đến những người thực hành ngành công nghiệp tiền điện tử thông qua LinkedIn để cộng tác. Khi nạn nhân chấp nhận thông tin liên lạc, tin tặc cung cấp một liên kết đến cái gọi là cuộc họp trực tuyến, thường được ngụy trang thành Zoom hoặc Google Meet.

Khi người dùng nhấp vào các liên kết này, họ sẽ được đưa đến trang xác minh mô phỏng với hộp xác minh “Tôi không phải là robot” giống như Cloudflare. Sau khi nhấp chuột, hệ thống sẽ tự động sao chép lệnh độc hại vào khay nhớ tạm của người dùng và nhắc nó dán cái gọi là mã xác minh vào thiết bị đầu cuối máy tính. Sau khi lệnh được thực thi, chương trình độc hại sẽ chạy trong thiết bị, kích hoạt cuộc tấn công ClickFix.

Moonlock Lab chỉ ra rằng sự nguy hiểm của phương pháp tấn công này là nó sử dụng kỹ thuật xã hội để khiến người dùng chủ động thực thi mã độc, từ đó vượt qua các cơ chế bảo mật truyền thống. Nếu không có tải xuống hoặc khai thác độc hại rõ ràng, nhiều hệ thống bảo mật phải vật lộn để xác định rủi ro một cách kịp thời.

Cuộc điều tra tiết lộ rằng một tài khoản có tên Mykhailo Hureiev đã liên hệ với nhiều người dùng với tư cách là người đồng sáng lập SolidBit Capital và được cho là một trong những liên hệ lừa đảo đầu tiên. Tuy nhiên, các nhà nghiên cứu cho biết chiến dịch tấn công có cấu trúc mô-đun cao và một khi danh tính bị lộ, kẻ tấn công sẽ nhanh chóng chuyển sang danh tính giả mới để tiếp tục hoạt động.

Đồng thời, tin tặc cũng đang sử dụng các tiện ích mở rộng trình duyệt bị chiếm quyền điều khiển để mở rộng phạm vi tấn công của chúng. John Tuckner, người sáng lập công ty bảo mật Annex Security, lưu ý trong báo cáo rằng một tiện ích mở rộng của Chrome có tên QuickLens gần đây đã bị phát hiện có các tập lệnh độc hại và bị xóa khỏi cửa hàng ứng dụng. Plugin ban đầu cho phép người dùng tìm kiếm bằng Google Lens trong trình duyệt, nhưng sau khi thay đổi nhà phát triển vào ngày 1 tháng 2, một phiên bản mới chứa mã độc đã được phát hành trong vòng hai tuần.

Tiện ích mở rộng có khoảng 7.000 người dùng và đang được sử dụng để quét các thiết bị để tìm dữ liệu ví tiền điện tử, cụm từ hạt giống và thông tin nhạy cảm khác, theo báo cáo. Các tập lệnh độc hại cũng có thể đọc nội dung email Gmail, dữ liệu tài khoản YouTube và thông tin đăng nhập hoặc thanh toán trong biểu mẫu web.

Các nhà nghiên cứu bảo mật chỉ ra rằng các cuộc tấn công ClickFix đã tiếp tục lan rộng kể từ năm 2024 và đã ảnh hưởng đến nhiều lĩnh vực như sản xuất, bán lẻ, tiện ích và năng lượng. Khi những kẻ tấn công tiếp tục tối ưu hóa các chiến thuật kỹ thuật xã hội của họ, nguy cơ trộm cắp ví nhắm vào người dùng tài sản tiền điện tử cũng đang tăng lên đáng kể.