ClickFix 新線索：駭客偽裝成投資者，通過瀏覽器擴展程式竊取錢包和資料

網路安全行業面臨着更大的威脅，因爲一個數字資源黑客集團改進了"ClickFix"技術，使其更加惡劣，目標鎖定在加密貨幣和用戶的數字錢包上。Moonlock Lab，這是一家領先的安全機構，揭示黑客熟練地使用身分欺詐策略，引誘受害者曬出重要信息並導致其虛擬幣資產損失。

新玩法：僞裝成基金管理人，然後用假會議連結誘騙受害者

網路恐怖分子以另一種形式使用 “ClickFix”，聲稱自己是名爲 SolidBit、MegaBit 和 Lumax Capital 的風險投資公司的管理者，以邀請用戶參與。整個過程始於通過 LinkedIn 平台進行看似真實的溝通，受害者會被誘導參加面試或討論項目。

當受害者接受邀請時，攻擊者會發送指向虛假的Zoom或Google Meet會議室的連結。這個虛假的會議室網頁上會顯示一個僞造的Cloudflare“驗證身分”按鈕。當用戶點擊時，系統會將充滿危險的命令復制到剪貼板。這些命令會被僞裝成設置會議的命令，但實際上是設計用來破壞受害者系統的惡意代碼。

瀏覽器擴展被黑客攻擊：QuickLens 成爲攻擊虛擬幣資產的武器

除了通過假連結引誘受害者外，攻擊者還採用另一種方法，即控制瀏覽器擴展。Annex Security 的創始人 John Tuckner 透露，名爲 QuickLens 的 Chrome 擴展已落入攻擊者之手，時間是 2 月 1 日。

在更換所有者僅兩周後，攻擊者發布了隱藏惡意代碼的新版本QuickLens。這個版本不僅支持ClickFix攻擊，還被設計用來在最黑暗的層面上竊取用戶信息。當用戶安裝了這個攻擊擴展後，它將成爲一把雙刃劍，潛伏着監視他的行爲。

可能丟失的信息和危險的大小

這個假冒的 QuickLens 擴展曾經有大約 7,000 名用戶，在官員發現異常後被從 Chrome 網上應用店刪除。然而，損失可能在擴展仍然存在期間就已經發生了。

隱藏在擴展中的惡意代碼將掃描用戶的數字錢包信息，並尋找恢復帳戶的詞語。不僅如此，它還會提取Gmail帳戶、YouTube系統的信息，以及最重要的，網站上的登入信息和支付信息。這些信息合在一起，將允許攻擊者在不被察覺的情況下訪問受害者的數字資產。

ClickFix策略的特徵越來越混亂

研究人員指出，解決ClickFix問題的困難在於，防護機制被受害者自身的參與所繞過。由於指令是手動復制到剪貼板並手動粘貼在終端上的，正常系統因此沒有檢測到任何異常，並認爲這是正常的操作，這使得它成爲一種極其有效的避免防護的方法。

通過 “ClickFix” 的數據表明，黑客已經調整了他們的策略，以適應更近的距離，並增加了成功的可能性。人性和建立信任成爲了最大的弱點。