ClickFix攻击利用社交工程诱骗用户执行恶意命令

网络安全研究机构Moonlock Lab报告指出,一种名为“ClickFix”的新型加密攻击正在快速演变。攻击者以虚假风险投资公司身份,如SolidBit、MegaBit和Lumax Capital,在LinkedIn等平台接触加密行业从业者。一旦目标接受沟通,便会收到伪装成Zoom或Google Meet的线上会议链接。 点击后,用户将进入仿冒的验证页面,其中包含类似Cloudflare的“我不是机器人”验证框。点击该框后,恶意指令会被自动复制至剪贴板,并提示用户在终端粘贴所谓“验证码”。一旦执行,恶意程序即在设备中运行,触发完整的ClickFix攻击流程。

攻击者采用模块化策略,身份暴露后迅速更换

研究人员发现,一名名为Mykhailo Hureiev的账户曾以SolidBit Capital联合创始人身份与其他用户联系,被认为是早期诈骗联络人之一。然而,该攻击活动具备高度模块化特征——一旦某个虚假身份被识别,攻击者会立即启用新的伪装身份继续渗透。 这种动态更替机制使追踪与阻断难度显著提升,也反映出攻击组织具备较强的组织性与持续作战能力。

恶意浏览器扩展扩大攻击覆盖面

与此同时,黑客还借助被劫持的浏览器扩展程序扩大影响范围。安全公司Annex Security创始人John Tuckner披露,一款名为QuickLens的Chrome扩展在2月1日更换开发者后,两周内发布含恶意脚本的新版本,并从应用商店下架。 该插件原功能为支持Google Lens搜索,但更新后可扫描设备中的加密钱包数据、助记词、Gmail邮件内容、YouTube账户信息及网页表单中的登录凭证与支付资料,实现跨平台敏感信息窃取。

攻击范围蔓延至多行业,加密资产风险加剧

据调查,ClickFix攻击自2024年以来持续扩散,已波及制造业、零售业、公共事业及能源等多个领域。随着攻击者不断优化社会工程话术与技术手段,针对加密资产用户的钱包窃取行为呈现明显上升趋势。 由于攻击依赖用户主动操作,缺乏传统漏洞利用或下载行为,多数安全系统难以有效识别,进一步加大了防范难度。