试图利用“点击修复”攻击窃取加密货币的黑客,在最近两次攻击中转而冒充风险投资公司并劫持浏览器扩展程序。
冒充风投公司进行社交工程攻击
根据网络安全公司Moonlock Lab周一发布的报告,诈骗者正在使用SolidBit、MegaBit和Lumax Capital等虚假风险投资公司名义进行活动。黑客通过这些公司以合作邀约为由,通过LinkedIn联系用户,随后引导其点击伪造的Zoom和Google Meet链接。
当目标点击欺诈链接后,会跳转至一个包含虚假Cloudflare“我不是机器人”验证框的活动页面。点击该框会将恶意命令复制到剪贴板,并提示用户打开计算机终端粘贴所谓的验证代码,从而执行攻击。
“点击修复技术使得最终步骤极具迷惑性,”Moonlock Lab团队指出,“通过让受害者成为攻击执行者——亲自粘贴并运行命令——攻击者绕过了安全行业多年构建的防护机制。无需漏洞利用,也无可疑下载行为。”
Moonlock Lab披露,一位名为Mykhailo Hureiev(自称SolidBit Capital联合创始人兼管理合伙人)的个人是该骗局LinkedIn初始阶段的主要联系人。另有两名X平台用户报告曾与Hureiev账户进行过可疑对话。
不过Moonlock Lab强调,该攻击活动的基础设施设计精密,能在某个伪装身份暴露后立即轮换新身份。
浏览器扩展遭劫持成为窃密工具
与此同时,加密货币黑客近期还通过“点击修复”攻击角度传播恶意Chrome扩展程序。网络安全公司Annex Security创始人John Tuckner在2月23日的报告中指出,允许用户在浏览器中直接运行Google Lens搜索的QuickLens扩展程序,在被篡改为推送恶意软件后已从应用商店下架。
在QuickLens于2月1日变更所有权后,两周后发布的新版本包含可发起点击修复攻击的恶意脚本及其他信息窃取工具。Tuckner表示该扩展程序约有7,000名用户。
据3月2日eSecurity Planet报告,被劫持的扩展程序会搜索加密货币钱包数据和助记词以窃取资金,同时抓取Gmail收件箱内容、YouTube频道数据,以及用户在网页表单中输入的其他登录凭证或支付信息。
点击修复攻击已成跨行业威胁
Moonlock Lab表示,自去年以来点击修复技术在威胁行为者中日益流行,因其迫使受害者手动执行恶意载荷,从而规避标准安全工具的检测。
然而安全研究人员至少从2024年就开始追踪此类攻击,其目标涵盖广泛行业领域。微软威胁情报团队去年8月曾发出警告,称其持续追踪“每日针对全球数千家企业及终端设备的攻击活动”。
网络威胁情报公司Unit42在去年7月的报告中指出,这种“相对新型的社交工程技术”已对制造业、批发零售业、地方政府以及公用事业和能源行业造成影响。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注