ClickFix 黑客冒充创投公司攻击加密用户，QuickLens 恶意劫持曝光

网络安全公司 Moonlock Lab 周一发布报告，揭露以“ClickFix”手法为核心的加密货币黑客最新攻击手段：诈骗者通过伪装成 SolidBit、MegaBit 等假冒创投公司，在 LinkedIn 上接触加密从业者提供合作机会，最终诱导受害者自行在电脑终端执行恶意命令，窃取加密资产。

ClickFix 攻击手法解析：把受害者变成攻击执行者

ClickFix 攻击的核心创新在于彻底颠覆传统恶意软件的感染路径。攻击流程通常包含以下环节：

第一阶段（LinkedIn 社工）：黑客以假冒创投公司名义联系目标用户，提供看似合法的商业合作机会，建立初步信任。

第二阶段（假冒视讯链接）：将目标引导至伪装成 Zoom 或 Google Meet 的诈骗链接，进入仿真的“活动页面”。

第三阶段（剪贴簿劫持）：页面呈现伪造的 Cloudflare “我不是机器人”验证框，点击后恶意命令被悄悄复制至用户剪贴簿。

第四阶段（自我执行）：提示用户开启电脑终端机并粘贴“验证码”，实际上执行的是攻击指令。

Moonlock Lab 研究团队指出：“ClickFix 技术的高效之处，在于它把受害者本身转化为攻击的执行机制。让受害者自行粘贴并执行命令，攻击者就绕过了安全行业多年构建的各种防护措施——无需利用漏洞，也无需触发可疑下载行为。”

QuickLens 被劫持事件详情与恶意功能清单

QuickLens 的被劫持案例展现出另一种攻击向量——针对既有合法用户的供应链式攻击：

2 月 1 日：QuickLens 扩展程序易主（所有权转让）

两周后：新所有者发布含恶意脚本的更新版本

2 月 23 日：安全研究员 Tuckner 公开揭露，扩展程序从 Chrome 网上应用店下架

恶意功能清单：

· 搜索并窃取加密货币钱包数据与助记词（Seed Phrase）

· 抓取用户 Gmail 收件箱内容

· 窃取 YouTube 频道资料

· 截取网页表单中输入的登录凭证与支付信息

根据 eSecurity Planet 的报告，这款被劫持的扩展程序同时部署了 ClickFix 攻击模块和其他信息窃取工具，显示背后操控者具备多工具协同作战的能力。

ClickFix 的更广泛威胁背景

Moonlock Lab 指出，ClickFix 技术自 2025 年以来在威胁行为者中迅速普及，其核心优势在于利用人类行为而非软件漏洞，从根本上规避传统安全工具的检测逻辑。

微软威胁情报部门在 2025 年 8 月警告，他们持续追踪到“每日针对全球数千家企业与终端设备的攻击活动”；网络威胁情报公司 Unit42 在 2025 年 7 月的报告中，确认 ClickFix 已对制造业、批发零售业、州与地方政府及公用事业能源等多个行业造成影响，远超出加密货币的单一领域。

常见问题

ClickFix 攻击为何能成功绕过防毒与安全软件？

传统防毒软件的设计逻辑是识别并拦截可疑程序的自动执行。ClickFix 的突破点在于让“人”成为执行者——由受害者主动输入并执行命令，而非由恶意软件自动植入，这使得行为检测类的安全工具难以识别为威胁，因为终端机执行的看起来像是正常的用户操作。

如何识别 ClickFix 类型的社会工程攻击？

主要识别标志包括：来自不熟悉的 LinkedIn 账号提供商业合作机会、点击会议链接后被要求输入“验证码”或“修复步骤”、任何要求你打开终端机（命令提示符）并粘上代码的指示，以及伪装成 Cloudflare、CAPTCHA 的假验证界面。安全原则是：任何合法服务都不需要要求用户在终端机执行命令来完成身份验证。

QuickLens 用户现在应该采取哪些行动？

若曾安装 QuickLens 扩展程序，应立即从浏览器中移除，同时更换所有可能已受影响的加密货币钱包（生成新的助记词并将资金转移至新钱包），并重置相关的 Gmail 及其他账号密码。建议定期审查已安装的浏览器扩展程序，对所有权近期发生变更的扩展保持高度警惕。