Crypto hackers exploit ClickFix via fake venture capital outreach

Krypto-Kriminelle verfeinern Social-Engineering-Taktiken, um traditionelle Sicherheitswerkzeuge zu umgehen, und verwenden gefälschte Risikokapital-Anfragen, um eine als ClickFix bekannte Technik einzusetzen.

Forscher sagen, Angreifer geben sich auf LinkedIn als Investmentfirmen aus, locken Nutzer in betrügerische Videoanrufe und bringen sie dazu, schädliche Befehle auf ihren eigenen Geräten auszuführen.

Die Methode vermeidet herkömmliche Malware-Downloads, indem sie darauf setzt, dass die Opfer den schädlichen Code manuell ausführen.

Neben der gefälschten Investorenkampagne wurde eine kompromittierte Chrome-Erweiterung eingesetzt, um ähnliche Angriffe zu verbreiten und die Taktik über Direktnachrichten-Betrügereien hinaus auszuweiten.

Gefälschte VC-Identitäten

Einem Bericht von Moonlock Lab zufolge haben Betrüger gefälschte Risikokapital-Marken wie SolidBit, MegaBit und Lumax Capital erstellt.

Angreifer sprechen Ziele auf LinkedIn mit Partnerschaftsvorschlägen und Einladungen an, um Investitionsmöglichkeiten zu besprechen.

Opfer werden zu vermeintlichen Zoom- oder Google-Meet-Links geleitet.

Anstelle eines Meetings landen sie auf einer betrügerischen Veranstaltungsseite, die einen gefälschten Cloudflare-Verifizierungsschritt mit einer „Ich bin kein Roboter“-Checkbox zeigt.

Beim Anklicken der Box wird ein schädlicher Befehl in die Zwischenablage kopiert. Die Seite weist den Nutzer dann an, das Terminal seines Computers zu öffnen und den sogenannten Verifizierungscode einzufügen.

Sobald der Befehl ausgeführt wird, startet der Angriff.

Moonlock Lab erklärte, die Effektivität von ClickFix liege darin, das Ziel dazu zu bringen, den Befehl selbst auszuführen.

Weil es keinen verdächtigen Dateidownload oder eine automatische Exploitation gibt, werden viele herkömmliche Sicherheitskontrollen umgangen.

Die Firma ließ verlauten, dass eine Person mit dem Namen Mykhailo Hureiev, dargestellt als Mitgründer und Managing Partner bei SolidBit Capital, während der LinkedIn-Ansprachen als Hauptkontakt fungierte.

Kompromittierte Chrome-Erweiterung

In einer separaten Entwicklung nutzten Hacker einen ähnlichen ClickFix-Ansatz über eine kompromittierte Chrome-Erweiterung.

QuickLens, eine Erweiterung, die Nutzern ermöglicht, Google-Lens-Suchen direkt im Browser durchzuführen, wurde aus dem Chrome Web Store entfernt, nachdem festgestellt wurde, dass sie bösartige Skripte ausspielte.

John Tuckner, Gründer von Annex Security, schrieb in einem Bericht vom 23. Feb., dass QuickLens am 1. Feb. den Besitzer wechselte.

Zwei Wochen später wurde eine aktualisierte Version veröffentlicht, die Skripte enthielt, welche ClickFix-Angriffe und andere Tools zum Diebstahl von Informationen auslösten.

Rund 7.000 Nutzer hatten die Erweiterung installiert.

Ein Bericht vom 2. März von eSecurity Planet stellte fest, dass die gekaperte Erweiterung nach Krypto-Wallet-Daten und Seed-Phrasen suchte, um Gelder zu stehlen.

Sie durchsuchte außerdem Gmail-Postfächer, YouTube-Kanaldaten, Login-Zugangsdaten und Zahlungsinformationen, die in Webformulare eingegeben wurden.

Branchenweite Auswirkungen

Moonlock Lab erklärte, ClickFix-Angriffe seien seit dem Vorjahr populärer geworden, weil sie Opfer dazu zwingen, die bösartige Nutzlast manuell auszuführen, wodurch viele automatisierte Erkennungssysteme umgangen werden können.

Forscher verfolgen die Methode seit mindestens 2024.

Microsoft Threat Intelligence warnte im August, dass täglich Kampagnen beobachtet wurden, die weltweit Tausende von Unternehmens- und Endgeräten angriffen.

Im Juli berichtete Unit42, dass die vergleichsweise neue Social-Engineering-Technik Fertigung, Groß- und Einzelhandel, staatliche und lokale Verwaltungen sowie Versorgungs- und Energiesektoren betraf.

The post Krypto-Hacker nutzen ClickFix über gefälschte VC-Anfragen appeared first on Invezz