ClickFix nova ameaça: Hackers fingem ser investidores, roubam carteiras e dados através de extensão de navegador

O setor de segurança cibernética enfrenta uma ameaça maior, quando um grupo de hackers de recursos digitais aprimorou a técnica “ClickFix” para causar mais perturbações, direcionando seus ataques aos criptoativos e carteiras digitais dos usuários. A Moonlock Lab, uma agência de segurança de ponta, revelou que os hackers usaram táticas de identidade falsas para enganar as vítimas a mostrar informações importantes e perder seus ativos.

Método novo de jogar: disfarçar-se de gestor de fundos e atrair a vítima com um link de reunião falso

Os ciberterroristas utilizam “ClickFix” de uma outra forma, afirmando ser executivos de empresas de investimento de risco, como SolidBit, MegaBit e Lumax Capital, para convidar os usuários a participar. Todo o processo começa com o contacto através da plataforma LinkedIn, com uma comunicação que parece real. As vítimas são convidadas para entrevistas ou para discutir o projeto.

Quando a vítima aceita o convite, o atacante envia um link que aponta para uma sala de reuniões Zoom ou Google Meet falsa. A página da sala de reuniões falsa mostrará um botão “verificar identidade” do Cloudflare que é falso. Quando o usuário clica, o sistema copia comandos cheios de perigos para a área de transferência. Esses comandos se passarão por comandos para configurar a reunião, mas na verdade são códigos maliciosos projetados para comprometer o sistema da vítima.

Extensão de navegador hackeada: QuickLens tornou-se uma arma de ataque a criptoativos

Além de atrair vítimas através de links falsos, os atacantes também utilizam outro método, que é o controle de extensões do navegador. John Tuckner, fundador da Annex Security, revelou que a extensão chamada QuickLens para Chrome caiu nas mãos dos atacantes no dia 1 de fevereiro passado.

Após a mudança de proprietário por apenas duas semanas, os atacantes lançaram uma nova versão do QuickLens que oculta código malicioso. Esta versão não apenas suporta o ataque ClickFix, mas também foi projetada para roubar informações do usuário no nível mais obscuro. Quando o usuário instala a extensão comprometida, ela se torna uma arma de dois gumes que observa furtivamente o seu comportamento.

Informação que pode ser perdida e o tamanho do perigo

Esta extensão QuickLens falsa tinha cerca de 7.000 utilizadores antes de ser removida da Chrome Web Store quando as autoridades descobriram anomalias. No entanto, as perdas podem já ter ocorrido durante o tempo em que a extensão esteve disponível.

O código perigoso oculto na extensão irá realizar a varredura das informações da carteira digital do utilizador e procurar palavras para a recuperação da conta. Não só isso, ele também irá extrair informações da conta do Gmail, do sistema YouTube e, o mais importante, dados de login e informações de pagamento em vários sites. Estas informações, quando combinadas, permitirão que o atacante acesse os recursos digitais da vítima sem ser notado.

Características da estratégia ClickFix que se torna cada vez mais perturbadora

Os pesquisadores que investigaram este problema apontaram que a dificuldade em superar o problema ClickFix reside no fato de que o mecanismo de defesa é contornado pela própria participação da vítima, uma vez que os comandos são copiados manualmente para a área de transferência e ficam retidos no terminal manualmente. Assim, o sistema normal não detecta anomalias e considera a operação como normal, o que a torna um método incrivelmente eficaz de evitar a defesa.

Os dados de passagem do “ClickFix” mostram que os hackers aprimoraram suas táticas para se adequar a distâncias mais próximas e aumentaram a probabilidade de sucesso. A humanidade e a construção de confiança tornaram-se a maior vulnerabilidade.