ClickFix 新线索：黑客冒充投资者，通过浏览器扩展窃取钱包和信息

网络安全行业面临着更大的威胁，因为一个数字资源黑客集团改进了"ClickFix"技术，使其更加恶劣，目标锁定在加密货币和用户的数字钱包上。Moonlock Lab，这是一家领先的安全机构，揭示黑客熟练地使用身份欺诈策略，引诱受害者晒出重要信息并导致其虚拟币资产损失。

新玩法：伪装成基金管理人，然后用假会议链接诱骗受害者

网络恐怖分子以另一种形式使用 “ClickFix”，声称自己是名为 SolidBit、MegaBit 和 Lumax Capital 的风险投资公司的管理者，以邀请用户参与。整个过程始于通过 LinkedIn 平台进行看似真实的沟通，受害者会被诱导参加面试或讨论项目。

当受害者接受邀请时，攻击者会发送指向虚假的Zoom或Google Meet会议室的链接。这个虚假的会议室网页上会显示一个伪造的Cloudflare“验证身份”按钮。当用户点击时，系统会将充满危险的命令复制到剪贴板。这些命令会被伪装成设置会议的命令，但实际上是设计用来破坏受害者系统的恶意代码。

浏览器扩展被黑客攻击：QuickLens 成为攻击虚拟币资产的武器

除了通过假链接引诱受害者外，攻击者还采用另一种方法，即控制浏览器扩展。Annex Security 的创始人 John Tuckner 透露，名为 QuickLens 的 Chrome 扩展已落入攻击者之手，时间是 2 月 1 日。

在更换所有者仅两周后，攻击者发布了隐藏恶意代码的新版本QuickLens。这个版本不仅支持ClickFix攻击，还被设计用来在最黑暗的层面上窃取用户信息。当用户安装了这个攻击扩展后，它将成为一把双刃剑，潜伏着监视他的行为。

可能丢失的信息和危险的大小

这个假冒的 QuickLens 扩展曾经有大约 7,000 名用户，在官员发现异常后被从 Chrome 网上应用店删除。然而，损失可能在扩展仍然存在期间就已经发生了。

隐藏在扩展中的恶意代码将扫描用户的数字钱包信息，并寻找恢复账户的词语。不仅如此，它还会提取Gmail账户、YouTube系统的信息，以及最重要的，网站上的登录信息和支付信息。这些信息合在一起，将允许攻击者在不被察觉的情况下访问受害者的数字资产。

ClickFix策略的特征越来越混乱

研究人员指出，解决ClickFix问题的困难在于，防护机制被受害者自身的参与所绕过。由于指令是手动复制到剪贴板并手动粘贴在终端上的，正常系统因此没有检测到任何异常，并认为这是正常的操作，这使得它成为一种极其有效的避免防护的方法。

通过 “ClickFix” 的数据表明，黑客已经调整了他们的策略，以适应更近的距离，并增加了成功的可能性。人性和建立信任成为了最大的弱点。