ترقية هجوم التشفير ClickFix: هاكرز يتنكرون في هيئة مستثمرين رأس مال مخاطر (VC) ويقومون بتوجيه روابط الاجتماعات، ويختطفون متصفح QuickLens لسرقة المحافظ

في 3 مارس، كشف باحثو الأمن السيبراني أن طريقة هجوم على العملات الرقمية تسمى “ClickFix” تتصاعد بسرعة. تواصل القراصنة مؤخرا مع المستخدمين المستهدفين على منصات التواصل الاجتماعي من خلال التنكر في هيئة شركات رأس مال مغامر واختطاف الأجهزة بمساعدة إضافات متصفحات خبيثة لسرقة بيانات المحفظة ومعلومات الحسابات في العملات المشفرة.

أصدرت وكالة الأمن السيبراني مونلوك لاب تقريرا يفيد بأن المهاجمين أنشأوا هويات متعددة لمؤسسات استثمارية مزيفة، بما في ذلك SolidBit وMegaBit وLumax Capital، وأرسلوا دعوات لممارسي صناعة العملات الرقمية عبر لينكدإن للتعاون. بمجرد قبول الضحية للاتصال، يوفر القراصنة رابطا لما يسمى بالاجتماع الإلكتروني، غالبا ما يكون متخفيا في شكل زووم أو جوجل ميت.

عندما ينقر المستخدمون على هذه الروابط، يتم نقلهم إلى صفحة تحقق محاكاة تحتوي على مربع تحقق يشبه Cloudflare بعنوان “أنا لست روبوتا”. بعد النقر، يقوم النظام تلقائيا بنسخ الأمر الخبيث إلى لوحة الحافظة الخاصة بالمستخدم ويطلب منه لصق ما يسمى برمز التحقق على جهاز الكمبيوتر. بمجرد تنفيذ الأمر، يعمل البرنامج الخبيث داخل الجهاز، مما يؤدي إلى تفعيل هجوم ClickFix.

يشير مختبر مونلوك إلى أن خطر هذه الطريقة يكمن في استخدامها للهندسة الاجتماعية لتحفيز المستخدمين على تنفيذ كود خبيث بنشاط، مما يتجاوز آليات الأمان التقليدية. بدون تنزيلات أو استغلالات خبيثة واضحة، تواجه العديد من أنظمة الأمن صعوبة في تحديد المخاطر في الوقت المناسب.

كشفت التحقيقات أن حسابا يدعى ميخايلو هورييف كان على اتصال بعدة مستخدمين كمؤسس مشارك لشركة SolidBit Capital وكان يعتقد أنه أحد جهات الاتصال المبكرة للاحتيال. ومع ذلك، قال الباحثون إن حملة الهجوم لها هيكل معياري للغاية، وبمجرد كشف هوية، سيغير المهاجم بسرعة هوية مزيفة جديدة لمواصلة العمل.

وفي الوقت نفسه، يستخدم القراصنة أيضا إضافات متصفح مخطفة لتوسيع نطاق هجماتهم. أشار جون توكنر، مؤسس شركة الأمن Annex Security، في التقرير إلى أن إضافة كروم تدعى QuickLens وجد مؤخرا مزروعة بسكريبتات خبيثة وتمت إزالتها من متجر التطبيقات. سمحت الإضافة في الأصل للمستخدمين بالبحث باستخدام Google Lens في المتصفح، ولكن بعد تغيير المطورين في 1 فبراير، تم إصدار نسخة جديدة تحتوي على كود خبيث خلال أسبوعين.

يضم الامتداد حوالي 7,000 مستخدم ويستخدم لمسح الأجهزة بحثا عن بيانات المحفظة العملاة، والعبارات الأولية، ومعلومات حساسة أخرى، وفقا للتقرير. يمكن للسكريبتات الخبيثة أيضا قراءة محتوى البريد الإلكتروني في جيميل، وبيانات حساب يوتيوب، ومعلومات تسجيل الدخول أو الدفع في نماذج الويب.

أشار باحثو الأمن إلى أن هجمات ClickFix استمرت في الانتشار منذ عام 2024 وأثرت على العديد من القطاعات مثل التصنيع، والتجزئة، والمرافق، والطاقة. مع استمرار المهاجمين في تحسين تكتيكاتهم في الهندسة الاجتماعية، يزداد خطر سرقة المحافظ التي تستهدف مستخدمي الأصول الرقمية بشكل ملحوظ.