ClickFix暗号攻撃のアップグレード：ハッカーがVCを装い会議リンクを誘導し、QuickLensブラウザを乗っ取ってウォレットを盗む

3月3日、サイバーセキュリティ研究者は、「ClickFix」と呼ばれる暗号通貨攻撃手法が急速にエスカレートしていることを明らかにしました。最近、ハッカーはリスク投資会社に偽装し、ソーシャルプラットフォーム上でターゲットユーザーに接触し、悪意のあるブラウザ拡張機能を利用してデバイスを乗っ取り、暗号資産ウォレットのデータやアカウント情報を盗み出しています。

サイバーセキュリティ機関のMoonlock Labは、攻撃者がSolidBit、MegaBit、Lumax Capitalなどの複数の偽投資機関の身分を作り出し、LinkedInを通じて暗号業界の関係者に協力を招待したと報告しました。被害者が連絡を受け入れると、ハッカーはZoomやGoogle Meetに偽装したいわゆるオンライン会議のリンクを提供します。

ユーザーがこれらのリンクをクリックすると、Cloudflareの「私はロボットではない」認証と類似した検証ページの模擬画面に遷移します。クリック後、システムは自動的に悪意のあるコマンドをユーザーのクリップボードにコピーし、いわゆる認証コードを端末に貼り付けるよう促します。コマンドが実行されると、悪意のあるプログラムがデバイス内で動作し、ClickFix攻撃が発動します。

Moonlock Labは、この攻撃手法の危険性は、社会工学を利用してユーザーに悪意のあるコードの実行を誘導し、従来のセキュリティ防御を回避する点にあると指摘しています。明らかな悪意のあるダウンロードやエクスプロイト行為が見られないため、多くのセキュリティシステムはリスクを迅速に検知しづらい状況です。

調査によると、Mykhailo Hureievというアカウントは、SolidBit Capitalの共同創設者として複数のユーザーと連絡を取り合っており、初期の詐欺関係者の一人と考えられています。しかし、研究者は、この攻撃活動は高度にモジュール化されており、一つの身元が暴露されても、攻撃者はすぐに新たな偽の身分に切り替えて活動を続けると述べています。

また、ハッカーは乗っ取ったブラウザ拡張機能を利用して攻撃範囲を拡大しています。セキュリティ企業のAnnex Security創設者、ジョン・タックナー氏は、報告書の中で、Chrome拡張機能のQuickLensが最近、悪意のあるスクリプトを仕込まれてアプリストアから削除されたことを指摘しました。このプラグインはもともと、ブラウザ内でGoogle Lensを使った検索を可能にするものでしたが、2月1日に開発者が変更された後、2週間以内に悪意のあるコードを含む新バージョンがリリースされました。

この拡張機能は約7,000人のユーザーに利用されており、報告によると、暗号通貨ウォレットのデータやシードフレーズ、その他の機密情報をスキャンするために使われています。さらに、悪意のあるスクリプトはGmailのメール内容やYouTubeアカウントの情報、ウェブフォームのログイン情報や支払い情報も読み取ることが可能です。

セキュリティ研究者は、ClickFix攻撃は2024年以降も拡大を続けており、製造業、小売業、公共事業、エネルギー産業など多くの分野に影響を及ぼしていると指摘しています。攻撃者が社会工学の戦略を絶えず最適化し続ける中、暗号資産を狙ったウォレットの窃取リスクも著しく高まっています。