Cybercriminelen hebben een nieuwe methode ontwikkeld om cryptovaluta te stelen, waarbij ze gebruik maken van de professionele netwerksite LinkedIn. Deze aanpak, bekend als ClickFix, wordt steeds vaker ingezet door aanvallers die zich voordoen als legitieme durfkapitaalbedrijven. Dit artikel verkent de details van deze aanvalsmethode en de risico’s die het met zich meebrengt voor professionals in de cryptosector.
Wat is ClickFix en hoe werkt het?
ClickFix is een innovatieve aanvalstechniek die gericht is op het stelen van cryptovaluta door slachtoffers te misleiden. Cybercriminelen benaderen hun doelwitten via LinkedIn met voorstellen voor investeringen of samenwerkingen in de cryptosector. Deze aanvallers gebruiken valse identiteiten en doen zich voor als gerenommeerde durfkapitaalbedrijven zoals SolidBit, MegaBit en Lumax Capital.
De tactiek van de aanvallers
Na een eerste gesprek met het slachtoffer ontvangt deze een link naar een nagemaakte webpagina. Deze pagina lijkt op een legitieme beveiligingscontrole, vergelijkbaar met een verificatie van Cloudflare. Bij het openen van deze pagina verschijnt een vakje met de tekst “Ik ben geen robot”. Dit lijkt onschuldig, maar wie op het vakje klikt, activeert ongemerkt een kwaadaardige opdracht die gevoelige informatie kan stelen.
De gevolgen van de aanval
De ClickFix-aanval is bijzonder effectief omdat er geen virusbestand wordt gedownload. In plaats daarvan worden slachtoffers misleid om een kwaadaardige code te kopiëren naar hun klembord. Vervolgens krijgen ze instructies om hun terminal te openen en de code te plakken. Dit maakt het voor de aanvallers eenvoudiger om toegang te krijgen tot de cryptowallet van het slachtoffer en andere gevoelige gegevens.
Professioneel opgezet netwerk
De infrastructuur die achter deze campagnes schuilgaat, is professioneel opgezet. Wanneer een nepbedrijf wordt ontmaskerd, schakelen de daders eenvoudig over naar een nieuwe naam en zetten ze hun activiteiten voort. Dit maakt het voor slachtoffers moeilijk om de aanvallen te traceren en te voorkomen.
Gebruik van kwaadaardige browserextensies
Een andere tactiek die door de aanvallers wordt gebruikt, is het inzetten van een gekaapte Chrome-extensie genaamd QuickLens. Deze extensie wisselde op 1 februari van eigenaar en kreeg twee weken later een update die verborgen kwaadaardige code bevatte. Ongeveer 7.000 gebruikers hadden de QuickLens-extensie geïnstalleerd, waardoor ze kwetsbaar werden voor aanvallen.
Gegevensverzameling door malware
De aangepaste versie van QuickLens was ontworpen om actief te zoeken naar cryptowalletgegevens en seed-phrases. Bovendien verzamelde de malware ook informatie uit Gmail, YouTube, opgeslagen inloggegevens en betaalinformatie. Dit maakt de aanval niet alleen gericht op cryptovaluta, maar ook op bredere persoonlijke gegevens van de slachtoffers.
Verwijdering van de bedreiging
De kwaadaardige QuickLens-extensie is inmiddels verwijderd uit de Chrome Web Store. Dit is een belangrijke stap, maar het benadrukt ook de noodzaak voor gebruikers om waakzaam te blijven en bewust om te gaan met de extensies die ze installeren.
Hoe jezelf te beschermen tegen ClickFix-aanvallen
- Wees voorzichtig met berichten van onbekende personen op LinkedIn, vooral als ze voorstellen voor investeringen doen.
- Klik niet zomaar op links die je ontvangt, vooral als ze je vragen om je gegevens te verifiëren.
- Controleer altijd de URL van een website voordat je gevoelige informatie invoert.
- Installeer alleen browserextensies van betrouwbare bronnen en controleer regelmatig op verdachte activiteiten.
Cybercriminelen blijven hun technieken verfijnen en het is cruciaal voor professionals in de cryptosector om zich bewust te zijn van de risico’s. De ClickFix-aanvalsmethode is een duidelijke waarschuwing voor iedereen die zich bezighoudt met cryptovaluta. Door waakzaam te zijn en je bewust te zijn van de mogelijke gevaren, kun je jezelf beter beschermen tegen deze en andere cyberaanvallen.
