加密领域近期出现多起利用“ClickFix”技术实施的攻击事件，目标包括加密资产持有者及企业用户。多家网络安全公司报告称，攻击者一方面假冒风险投资公司在社交平台上接触受害者，另一方面通过劫持浏览器扩展程序传播恶意代码。

假冒风投公司通过社交平台引流

网络安全公司 Moonlock Lab 周一发布报告称，相关诈骗团伙使用 SolidBit、MegaBit 和 Lumax Capital 等虚构或可疑的风险投资公司名称，在 LinkedIn 上主动联系目标用户，提出合作或投资邀约。

据报告描述，受害者在 LinkedIn 上收到上述“风投公司”的消息后，会被引导点击伪装成 Zoom 或 Google Meet 的会议链接。链接实际会跳转至一个伪造的活动页面，页面上包含仿冒的 Cloudflare “我不是机器人”复选框。

Moonlock Lab 指出，当用户点击该复选框时，页面会将一段恶意命令复制到剪贴板，并提示用户在电脑终端中粘贴并执行所谓的“验证码”。这一操作触发了后续攻击流程。

Moonlock Lab 在报告中表示，“ClickFix 技术使得最后一步极为有效。通过让受害者成为执行机制——让他们自己粘贴并运行命令——攻击者绕过了安全行业多年构建的防护措施。没有漏洞利用，没有可疑下载。”

Moonlock Lab 称，一名名为 Mykhailo Hureiev 的人士被标注为 SolidBit Capital 的联合创始人兼管理合伙人，是该诈骗活动在 LinkedIn 早期阶段的主要联系人。两名 X 平台用户也报告称，与 Hureiev 账户发生过可疑对话。

该机构同时指出，此次活动背后的基础设施较为复杂，一旦某一身份或账号暴露，相关方会迅速更换身份继续行动。

Chrome 扩展 QuickLens 遭劫持

除社交工程外，攻击者还通过浏览器扩展传播“ClickFix”攻击。网络安全公司 Annex Security 创始人 John Tuckner 在 2 月 23 日发布报告称，Chrome 扩展程序 QuickLens 在被用于推送恶意软件后已被下架。

QuickLens 允许用户在浏览器中直接使用 Google Lens 搜索。Tuckner 表示，该扩展于 2 月 1 日更换所有权，随后两周内发布的新版本中被植入恶意脚本，用于实施 ClickFix 攻击并部署其他信息窃取工具。据其估计，该扩展约有 7,000 名用户。

据 eSecurity Planet 3 月 2 日报道，被劫持的 QuickLens 版本会在用户系统中搜索加密钱包数据和助记词，以窃取相关资金。同时，该扩展还会抓取 Gmail 收件箱内容、YouTube 频道数据，以及通过网页表单输入的其他登录凭证或支付信息。

ClickFix 攻击波及多行业

Moonlock Lab 指出，自去年以来，ClickFix 技术在威胁行为者中日益流行，其核心特征是迫使受害者手动执行恶意负载，从而绕过传统安全工具的检测。

安全研究人员至少自 2024 年起开始系统追踪该技术的使用情况，发现攻击目标已扩展至多个行业。

微软威胁情报部门在去年 8 月发布警告称，其已监测到“每天针对全球数千家企业和终端用户设备的攻击活动”。

网络安全公司 Unit42 去年 7 月的报告则将 ClickFix 描述为“一种相对较新的社会工程技术”，并称相关攻击已影响制造业、批发零售、州和地方政府以及公用事业和能源行业。