ClickFix ataque de criptografia atualizado: hackers disfarçados de VC induzem links de reunião, sequestram o navegador QuickLens e roubam carteiras

3 de março, notícias, os investigadores de cibersegurança divulgaram que uma técnica de ataque a criptomoedas chamada “ClickFix” está a evoluir rapidamente. Recentemente, hackers disfarçam-se de empresas de capital de risco para contactar utilizadores-alvo nas redes sociais e usam extensões maliciosas de navegador para sequestrar dispositivos, com o objetivo de roubar dados de carteiras de criptomoedas e informações de contas.

A Moonlock Lab, uma organização de cibersegurança, publicou um relatório indicando que os atacantes criaram várias identidades falsas de instituições de investimento, incluindo SolidBit, MegaBit e Lumax Capital, enviando convites de colaboração a profissionais do setor de criptomoedas via LinkedIn. Quando a vítima aceita a comunicação, os hackers fornecem um suposto link para uma reunião online, geralmente disfarçado de Zoom ou Google Meet.

Ao clicar nesses links, o utilizador é direcionado para uma página de verificação falsa, que inclui um CAPTCHA semelhante ao “Não sou um robô” do Cloudflare. Ao clicar, o sistema copia automaticamente comandos maliciosos para a área de transferência do utilizador e pede que cole um suposto código de verificação no terminal do computador. Ao executar o comando, o programa malicioso é ativado no dispositivo, desencadeando o ataque ClickFix.

A Moonlock Lab destaca que a gravidade deste método de ataque reside no facto de explorar engenharia social para induzir o utilizador a executar código malicioso, contornando assim os mecanismos tradicionais de proteção de segurança. Como não há downloads maliciosos evidentes ou exploração de vulnerabilidades, muitos sistemas de segurança têm dificuldade em identificar o risco a tempo.

A investigação revelou que uma conta chamada Mykhailo Hureiev tentou contactar vários utilizadores como cofundador da SolidBit Capital, sendo considerada uma das primeiras ligações de fraude. No entanto, os investigadores afirmam que a atividade de ataque é altamente modular; se uma identidade for descoberta, o atacante rapidamente troca por uma nova identidade falsa para continuar a operação.

Ao mesmo tempo, os hackers também expandem o alcance do ataque através de extensões de navegador sequestradas. John Tuckner, fundador da empresa de segurança Annex Security, revelou num relatório que uma extensão do Chrome chamada QuickLens foi recentemente encontrada a conter scripts maliciosos e foi retirada da loja de aplicações. Originalmente, a extensão permitia aos utilizadores pesquisar com Google Lens no navegador, mas após a troca de desenvolvedor em 1 de fevereiro, uma nova versão com código malicioso foi lançada em duas semanas.

O relatório indica que a extensão tinha cerca de 7000 utilizadores e era usada para escanear dados de carteiras de criptomoedas, frases de recuperação e outras informações sensíveis no dispositivo. Além disso, os scripts maliciosos podiam ler emails do Gmail, dados de contas do YouTube e informações de formulários web, incluindo detalhes de login ou pagamento.

Os investigadores de segurança alertam que o ataque ClickFix tem vindo a expandir-se desde 2024, afetando setores como manufatura, retalho, serviços públicos e energia. À medida que os atacantes continuam a aperfeiçoar as suas estratégias de engenharia social, o risco de roubo de carteiras de ativos criptográficos para utilizadores também aumenta significativamente.