ClickFix Nouveau fil: Les pirates se font passer pour des investisseurs, volent des portefeuilles et des données via une extension de navigateur

Le secteur de la cybersécurité fait face à une menace grandissante alors qu’un groupe de hackers spécialisés dans les ressources numériques a amélioré la technique “ClickFix” pour causer encore plus de perturbations. En ciblant les cryptoactifs et les Portefeuilles numériques des utilisateurs, Moonlock Lab, une agence de sécurité de premier plan, a révélé que les hackers ont utilisé des méthodes d’usurpation d’identité de manière experte pour piéger les victimes et leur soutirer des informations importantes, entraînant une perte de crypto.

Comment jouer à la nouvelle perturbation : se faire passer pour un gestionnaire de fonds et attirer les victimes avec un lien de réunion falsifié

Les cyberterroristes utilisent “ClickFix” d’une autre manière, en prétendant être des dirigeants d’entreprises d’investissement à risque, avec des noms tels que SolidBit, MegaBit et Lumax Capital, afin d’inviter les utilisateurs à participer. Tout le processus commence par un contact via la plateforme LinkedIn avec une communication qui semble authentique. Les victimes sont incitées à participer à un entretien ou à discuter du projet.

Lorsque la victime accepte l’invitation, l’attaquant enverra un lien pointant vers une salle de réunion Zoom ou Google Meet falsifiée. La page web de cette fausse salle de réunion montrera un bouton “vérifier l’identité” de Cloudflare qui est faux. Lorsque l’utilisateur clique dessus, le système copiera des commandes remplies de dangers dans le presse-papiers. Ces commandes seront déguisées en commandes pour configurer la réunion, mais en réalité, ce sont des codes malveillants conçus pour compromettre le système de la victime.

Extension de navigateur piratée : QuickLens devient une arme d’attaque contre les cryptoactifs

En plus d’attirer les victimes via des liens frauduleux, les attaquants ont également utilisé une autre méthode, à savoir le contrôle des extensions du navigateur. John Tuckner, le fondateur d’Annex Security, a révélé que l’extension appelée QuickLens pour Chrome était tombée entre les mains des attaquants le 1er février dernier.

Après le changement de propriétaire pendant seulement deux semaines, l’attaquant a publié une nouvelle version de QuickLens contenant un code malveillant. Cette version ne prend pas seulement en charge l’attaque ClickFix, mais elle est également conçue pour voler les informations des utilisateurs au niveau le plus obscur. Une fois que l’utilisateur a installé l’extension compromise, elle devient une arme à double tranchant qui espionne son comportement.

Informations susceptibles d’être perdues et taille du danger

Cette fausse extension QuickLens avait environ 7 000 utilisateurs avant d’être supprimée du Chrome Web Store lorsque les autorités ont découvert des anomalies. Cependant, des pertes ont pu se produire pendant la période où l’extension était encore disponible.

Le code malveillant caché dans l’extension effectuera un scan des informations du portefeuille numérique de l’utilisateur et recherchera des mots pour la récupération de compte. Non seulement cela, il extrait également les données du compte Gmail, du système YouTube et, surtout, des informations de connexion et des données de paiement sur divers sites web. Ces informations, combinées, permettront à l’attaquant d’accéder aux ressources numériques de la victime en toute discrétion.

Caractéristiques de la stratégie ClickFix qui devient de plus en plus perturbante

Les chercheurs qui étudient ce problème soulignent que la difficulté à surmonter le problème ClickFix réside dans le fait que le mécanisme de protection est contourné par la participation de la victime elle-même, puisque la commande est copiée manuellement dans le presse-papiers et reste manuellement dans le terminal. Le système normal ne détecte donc aucune anomalie et considère cela comme une opération normale, ce qui en fait un moyen incroyablement efficace d’éviter une protection.

Les données de passage de “ClickFix” montrent que les hackers ont amélioré leurs techniques pour se rapprocher davantage et ont augmenté la probabilité de succès. L’humanité et la construction de la confiance sont devenues la plus grande vulnérabilité.