ClickFix хакеры, выдающие себя за венчурные компании, атакуют крипто-пользователей, а QuickLens злоумышленно перехватывает и раскрывает информацию.

Компания по кибербезопасности Moonlock Lab в понедельник опубликовала отчёт, раскрывающий новые методы атак на криптовалютных пользователей, основанные на технике «ClickFix»: мошенники маскируются под фиктивные венчурные компании, такие как SolidBit и MegaBit, чтобы связаться с криптопрактиками через LinkedIn, предложить им сотрудничество и в конечном итоге побуждать жертв самостоятельно выполнять вредоносные команды на своих компьютерах для кражи криптоактивов.

Анализ методов атаки ClickFix: превращение жертвы в исполнителя атаки

Ключевая инновация техники ClickFix заключается в полном разрушении традиционных путей заражения вредоносным ПО. Процесс атаки обычно включает следующие этапы:

Фаза 1 (социальная инженерия через LinkedIn): Хакеры связываются с целевыми пользователями от имени фиктивных венчурных компаний, предлагая казалось бы легитимные бизнес-возможности, тем самым устанавливая первоначальное доверие.

Фаза 2 (поддельная видеоссылка): Пользователя направляют на мошенническую ссылку, замаскированную под Zoom или Google Meet, которая ведёт на имитированную страницу мероприятия.

Фаза 3 (захват буфера обмена): На странице отображается поддельное окно подтверждения Cloudflare «Я не робот», и при нажатии вредоносные команды тихо копируются в буфер обмена пользователя.

Фаза 4 (самоисполнение): Пользователю предлагается открыть командную строку и вставить «код подтверждения», который на самом деле является командой атаки.

Исследовательская команда Moonlock Lab отметила: «Эффективность технологии ClickFix заключается в том, что она превращает саму жертву в механизм выполнения атаки. Позволяя жертве самостоятельно вставлять и выполнять команды, злоумышленник обходят многочисленные меры защиты, разработанные в индустрии безопасности — без использования уязвимостей и без вызова подозрений при загрузке.»

Подробности инцидента с захватом QuickLens и список вредоносных функций

Случай с захватом QuickLens демонстрирует другой вектор атаки — цепочку поставок на уже действующих легальных пользователей:

1 февраля: расширение QuickLens сменило владельца (передача прав собственности)

Через две недели: новый владелец выпустил обновлённую версию с вредоносным скриптом

23 февраля: исследователь по безопасности Tuckner публично сообщил, что расширение было удалено из Chrome Web Store

Список вредоносных функций:

· Поиск и кража данных криптовалютных кошельков и seed-фраз

· Скрейпинг содержимого входящих писем Gmail

· Кража данных каналов YouTube

· Перехват данных для входа и платёжной информации, вводимых в веб-формы

Согласно отчёту eSecurity Planet, захваченное расширение использует как модуль атаки ClickFix, так и другие инструменты для кражи информации, что свидетельствует о наличии у злоумышленников возможности координированной работы с несколькими инструментами.

Более широкая предыстория угрозы ClickFix

Moonlock Lab отмечает, что технология ClickFix с 2025 года быстро распространяется среди злоумышленников, и её основное преимущество — использование человеческого поведения, а не уязвимостей программного обеспечения, что кардинально обходят традиционные системы обнаружения угроз.

В августе 2025 года отдел разведки угроз Microsoft предупредил, что они продолжают отслеживать «ежедневные атаки на тысячи предприятий и конечных устройств по всему миру». В июльском отчёте 2025 года компания Unit42 по киберразведке подтвердила, что ClickFix оказал влияние на множество отраслей, включая производство, оптовую и розничную торговлю, государственные учреждения и коммунальные службы, значительно выходя за рамки сферы криптовалют.

Часто задаваемые вопросы

Почему атаки ClickFix успешно обходят антивирусные и системы безопасности?

Традиционные антивирусные программы основаны на автоматическом обнаружении и блокировке подозрительных программ. В отличие от них, ClickFix делает так, что «актером» становится человек — жертва сама вводит и выполняет команды, что затрудняет обнаружение угроз системами поведения, поскольку действия выглядят как обычные пользовательские операции.

Как распознать социальную инженерную атаку типа ClickFix?

Основные признаки включают: получение предложений о бизнес-партнёрстве от незнакомых аккаунтов в LinkedIn, просьбы ввести «код подтверждения» или «шаг исправления» после перехода по ссылке на встречу, инструкции по открытию командной строки и вставке кода, а также поддельные интерфейсы аутентификации, маскирующиеся под Cloudflare или CAPTCHA. Основной принцип безопасности — никакая легитимная служба не требует от пользователя вводить команды в терминал для подтверждения личности.

Что должны делать пользователи QuickLens сейчас?

Если вы установили расширение QuickLens, немедленно удалите его из браузера, замените все криптовалютные кошельки, которые могли пострадать (сгенерируйте новые seed-фразы и переведите средства на новые кошельки), а также сбросьте пароли от Gmail и других аккаунтов. Рекомендуется регулярно проверять установленные расширения браузера и быть особенно внимательными к тем, что недавно сменили владельца.