黑客利用虚假风投身份实施ClickFix攻击

网络安全机构Moonlock Lab指出,近期出现多起针对加密货币用户的新型网络攻击,其核心手法为“ClickFix”。攻击者伪装成SolidBit、MegaBit和Lumax Capital等知名风险投资公司,通过LinkedIn平台主动联系潜在目标,以合作机会为诱饵,引导其点击伪造的Zoom或Google Meet会议链接。 点击后,用户将被重定向至模仿Cloudflare验证页面的恶意网站,页面上设有伪造的“我不是机器人”验证框。当用户点击该框时,恶意指令会被自动复制到系统剪贴板,并提示用户打开终端粘贴所谓的“验证码”。这一操作实际上是在执行远程代码,使设备成为攻击载体,从而实现对账户的控制。 该攻击方式的关键在于依赖用户主动执行命令,有效规避了传统安全检测机制,使得防御难度显著提升。

Chrome扩展程序被劫持传播恶意软件

与此同时,黑客还通过劫持浏览器扩展程序QuickLens发动攻击。该扩展原功能为在网页中直接调用Google Lens进行图像搜索,拥有约7000名用户。在所有权被非法转移后,新版本植入恶意脚本,可自动发起ClickFix攻击。 被感染的扩展会扫描用户设备中的加密钱包数据与助记词,进而盗取资金;同时抓取Gmail收件箱内容、YouTube频道信息以及网页表单中输入的登录凭证和支付信息,造成严重隐私与财产损失。 目前,该扩展已被从Chrome网上应用店下架,但已有部分用户在未更新前受到侵害。 ClickFix技术自去年起在暗网社区广泛传播,因其低门槛与高隐蔽性,已在全球范围内影响多个行业及数千家企业,凸显当前数字资产安全防护的严峻挑战。