ClickFix 공격이 강화되었으며, 해커가 VC를 사칭하고 브라우저 플러그인을 탈취하여 암호 자산을 훔치고 있습니다

네트워크 보안 기관 Moonlock Lab은 최근 암호 해커들이 "ClickFix" 공격 기법을 업그레이드하여 위험 투자 기관으로 가장하고, 소셜 플랫폼을 통해 목표 사용자를 접촉하여 악성 코드를 실행하도록 유도하여 암호 자산을 훔치고 있다고 보고했습니다.

공격자는 SolidBit, MegaBit, Lumax Capital 등과 같은 가짜 벤처 캐피탈 기관으로 가장하여 LinkedIn을 통해 협력 제안을 보내고, 피해자를 위조된 Zoom 또는 Google Meet 회의 링크로 유도합니다. 페이지에는 가짜 Cloudflare "나는 로봇이 아닙니다" 인증 버튼이 삽입되어 있으며, 클릭 시 악성 명령이 클립보드에 복사되고 사용자가 터미널에 붙여넣어 실행하도록 유도하여 공격이 완료됩니다. 연구자들은 이 방법이 "피해자가 스스로 명령을 실행하게 함으로써" 전통적인 보안 방어 메커니즘을 회피한다고 지적했습니다.

한편, 해커들은 브라우저 확장 프로그램을 탈취하여 공격을 수행하기도 했습니다. 네트워크 보안 회사 Annex Security의 창립자 John Tuckner는 Chrome 플러그인 QuickLens가 2월 1일 소유권을 변경한 후 2주 후에 악성 스크립트를 포함한 새로운 버전을 출시하여 ClickFix 공격을 촉발하고 사용자 데이터를 훔쳤다고 밝혔습니다. 이 플러그인은 약 7,000명의 사용자가 있으며, 현재 상점에서 삭제되었습니다. 보고서에 따르면, 탈취된 확장 프로그램은 암호 지갑 데이터와 니모닉 문구를 스캔하고, Gmail 이메일 내용, YouTube 채널 데이터 및 웹 로그인 또는 결제 정보를 수집합니다.