해커가 VC를 사칭하고 QuickLens 플러그인을 탈취하여 ClickFix 기술을 이용해 암호 자산을 훔쳤다

据 Cointelegraph 报道，黑客正利用 "ClickFix" 공격 수법으로 암호화폐를 훔치고 있으며, 최근 두 건의 공격은 위험 투자 회사를 사칭하고 브라우저 확장 프로그램을 탈취하는 것과 관련이 있습니다.

네트워크 보안 회사 Moonlock Lab은 사기꾼들이 SolidBit, MegaBit 및 Lumax Capital과 같은 가짜 VC를 사칭하여 LinkedIn을 통해 사용자에게 협력 기회를 제공한 후, 가짜 Zoom 및 Google Meet 링크를 클릭하도록 유도한다고 보고했습니다. 링크를 클릭하면 사용자는 위조된 Cloudflare "나는 로봇이 아닙니다" 인증 상자가 있는 페이지로 안내되며, 해당 상자를 클릭하면 악성 명령이 클립보드에 복사되고 사용자가 터미널을 열어 이른바 인증 코드를 붙여넣도록 유도되어 공격이 실행됩니다.

Moonlock Lab은 이러한 수법이 피해자를 실행 메커니즘으로 만들어 보안 산업의 방어 조치를 우회하게 한다고 지적했습니다. 동시에 해커들은 Chrome 확장 프로그램 QuickLens를 탈취하여 악성 소프트웨어를 퍼뜨리고 있습니다. 이 확장은 사용자가 브라우저에서 직접 Google Lens 검색을 실행할 수 있게 해주며, 소유권이 이전된 후 새 버전에는 ClickFix 공격을 시작하고 정보를 훔칠 수 있는 악성 스크립트가 포함되어 있습니다.

이 확장은 약 7000명의 사용자가 있으며, 탈취된 후에는 암호 지갑 데이터와 복구 구문을 검색하여 자금을 훔치고, Gmail 받은편지함 내용, YouTube 채널 데이터 및 웹 페이지 양식에 입력된 로그인 자격 증명이나 결제 정보를 수집합니다. 이 확장은 Chrome 웹 스토어에서 제거되었습니다. ClickFix 기술은 작년부터 해커들 사이에서 유행하고 있으며, 피해자에게 악성 페이로드를 수동으로 실행하도록 강요하여 전 세계 수천 개 기업과 여러 산업에 영향을 미쳤습니다.