网络安全机构Moonlock Lab报告,加密黑客近期升级「ClickFix」攻击手法,通过冒充风险投资机构实施社交工程攻击。
攻击手法详解
- 冒充风投机构:攻击者伪装成SolidBit、MegaBit等虚假风投,通过LinkedIn发送合作邀约。
- 诱导执行恶意代码:引导受害者进入伪造的Zoom或Google Meet会议页面。页面内嵌假的Cloudflare验证按钮,点击后会将恶意命令复制至剪贴板,并诱导用户在终端粘贴执行。此方式通过“让受害者自行执行命令”来规避传统安全防护。
浏览器插件劫持
- 黑客同时通过劫持浏览器扩展程序实施攻击。例如,Chrome插件QuickLens在更换所有权后,发布含恶意脚本的新版本,触发ClickFix攻击。
- 该插件约有7,000名用户,目前已从商店下架。被劫持的扩展程序会扫描加密钱包数据、助记词,并窃取Gmail、YouTube频道及网页登录支付信息。
