ClickFix加密攻擊升級：黑客偽裝VC誘導會議連結，劫持QuickLens瀏覽器竊取錢包

3月3日消息，網路安全研究人員披露，一種名為“ClickFix”的加密貨幣攻擊手段正在快速升級。黑客近期透過偽裝成風險投資公司，在社交平台接觸目標用戶，並借助惡意瀏覽器擴充套件劫持設備，以竊取加密錢包資料和帳戶資訊。

網路安全機構 Moonlock Lab 發布報告稱，攻擊者建立了多個虛假的投資機構身份，包括 SolidBit、MegaBit 和 Lumax Capital，並透過 LinkedIn 向加密行業從業者發送合作邀請。一旦受害者接受溝通，黑客便會提供所謂的線上會議連結，通常偽裝為 Zoom 或 Google Meet。

當用戶點擊這些連結後，會進入一個仿真的驗證頁面，其中包含類似 Cloudflare 的“我不是機器人”驗證框。點擊後系統會自動將惡意命令複製到用戶剪貼簿，並提示其在電腦終端貼上所謂的驗證碼。一旦執行命令，惡意程式便會在設備中運行，從而觸發ClickFix攻擊。

Moonlock Lab指出，這種攻擊方式的危險之處在於它利用社會工程學誘導用戶主動執行惡意程式碼，從而繞過傳統安全防護機制。由於沒有明顯的惡意下載或漏洞利用行為，許多安全系統難以及時識別風險。

調查顯示，一名名為 Mykhailo Hureiev 的帳戶曾以 SolidBit Capital 聯合創始人身份與多名用戶接觸，被認為是早期詐騙聯絡人之一。不過研究人員表示，該攻擊活動具有高度模組化結構，一旦某個身份曝光，攻擊者會迅速更換新的虛假身份繼續行動。

與此同時，黑客還利用被劫持的瀏覽器擴充套件擴大攻擊範圍。安全公司 Annex Security 創始人 John Tuckner 在報告中指出，一款名為 QuickLens 的 Chrome 擴充套件近期被發現植入惡意腳本並從應用商店下架。該插件原本允許用戶在瀏覽器中使用 Google Lens 搜尋，但在2月1日更換開發者後，兩週內發布了包含惡意程式碼的新版本。

報告稱，該擴充套件擁有約7000名用戶，並被用於掃描設備中的加密錢包資料、助記詞以及其他敏感資訊。同時，惡意腳本還能夠讀取 Gmail 郵件內容、YouTube 帳戶資料以及網頁表單中的登入資訊或支付資料。

安全研究人員指出，ClickFix攻擊自2024年以來持續擴散，已經影響製造業、零售業、公用事業及能源行業等多個領域。隨著攻擊者不斷優化社會工程策略，針對加密資產用戶的錢包竊取風險也正在明顯上升。