ClickFix Hilo Nuevo: Hackers se Hacen Pasar por Inversores, Roban Billeteras e Información a Través de Extensiones del Navegador

El mundo de la seguridad cibernética se enfrenta a amenazas cada vez mayores, ya que un grupo de hackers de recursos digitales ha mejorado la técnica “ClickFix” para causar más caos que nunca, apuntando a los criptoactivos y a la billetera digital de los usuarios. Moonlock Lab, una agencia de seguridad líder, ha revelado que los hackers han utilizado tácticas de suplantación de identidad de manera experta para atraer a las víctimas a mostrar información clave y hacerles perder activos.

Nueva forma de jugar: hacerse pasar por un ejecutivo de fondos y atraer a las víctimas con un enlace de reunión falso

Los ciberdelincuentes utilizan “ClickFix” en otra forma, afirmando ser ejecutivos de empresas de inversión de alto riesgo, como SolidBit, MegaBit y Lumax Capital, para invitar a los usuarios a participar. Todo el proceso comienza con un contacto a través de la plataforma LinkedIn, con una comunicación que parece ser real. Las víctimas son persuadidas para asistir a entrevistas o discutir sobre el proyecto.

Cuando la víctima acepta la invitación, el atacante enviará un enlace que apunta a una sala de reunión de Zoom o Google Meet falsificada. La página web de esta sala de reunión falsa mostrará un botón “verificar identidad” de Cloudflare que es falso. Cuando el usuario hace clic en él, el sistema copiará comandos llenos de peligros en el portapapeles. Estos comandos serán suplantados como comandos para configurar la reunión, pero en realidad son código malicioso diseñado para dañar el sistema de la víctima.

Extensión del navegador hackeada: QuickLens se convierte en un arma de ataque a criptoactivos

Además de atraer a las víctimas a través de enlaces falsos, los atacantes también utilizan otro método, que es controlar las extensiones del navegador. John Tuckner, fundador de Annex Security, reveló que una extensión llamada QuickLens para Chrome ha caído en manos de los atacantes, el 1 de febrero pasado.

Después de cambiar de propietario durante solo dos semanas, el atacante lanzó una nueva versión de QuickLens que oculta código malicioso. Esta versión no solo apoya el ataque ClickFix, sino que también está diseñada para robar la información del usuario en el nivel más oscuro. Cuando el usuario instala la extensión comprometida, se convierte en un arma de doble filo que espía su comportamiento.

Información que podría perderse y el tamaño del peligro

Esta falsa extensión QuickLens había tenido alrededor de 7,000 usuarios antes de ser eliminada de la Chrome Web Store cuando las autoridades descubrieron anomalías. Sin embargo, las pérdidas pueden haber ocurrido ya durante el tiempo que la extensión estuvo activa.

El código malicioso oculto en la extensión escaneará la información de la billetera digital del usuario y buscará palabras para la recuperación de cuentas. No solo eso, también extraerá información de la cuenta de Gmail, del sistema de YouTube y lo que es más importante, los datos de inicio de sesión y la información de pago en varios sitios web. Estos datos, cuando se combinan, permitirán al atacante acceder a los recursos digitales de la víctima sin ser detectado.

Características de la estrategia ClickFix que se vuelve más caótica

Los investigadores que han estudiado este problema señalan que la dificultad para superar el problema de ClickFix radica en que el mecanismo de defensa se elude mediante la participación de la propia víctima, ya que el comando se copia manualmente en el portapapeles y se mantiene en la terminal de manera manual. Por lo tanto, el sistema normal no detecta ninguna anomalía y lo considera una operación normal, lo que lo convierte en un método increíblemente efectivo para eludir las defensas.

La información de “ClickFix” muestra que los hackers han mejorado sus tácticas para adaptarse a distancias más cercanas, aumentando así la probabilidad de éxito. La humanidad y la construcción de confianza se han convertido en la mayor vulnerabilidad.