黑客冒充VC並劫持QuickLens插件，利用ClickFix技術竊取加密資產

攻擊手法與流程

黑客透過冒充風險投資公司（VC），如SolidBit、MegaBit和Lumax Capital，利用LinkedIn等社交平臺與目標用戶建立聯繫，並提供合作機會。當用戶點擊虛假的Zoom或Google Meet連結後，會被導向一個偽造的Cloudflare「我不是機器人」驗證頁面。

點擊該驗證框時，惡意命令會被複製至剪貼簿，並提示用戶打開終端機貼上所謂的驗證碼，進而執行攻擊，使受害者成為執行機制，繞過傳統安全防禦。

QuickLens插件被劫持

QuickLens為一款瀏覽器擴充功能，允許用戶在瀏覽器中直接執行Google Lens搜尋。該插件約有7000名使用者，被劫持後的新版本包含惡意腳本，可啟動ClickFix攻擊。

惡意腳本會搜尋加密錢包的資料與助記詞以竊取資金，並抓取Gmail收件箱內容、YouTube頻道資料，以及用戶在網頁表單中輸入的登入憑證或支付資訊。

技術背景與影響範圍

「ClickFix」技術自去年開始在黑客社群中流行，其特點是迫使受害者主動執行惡意載荷，已影響全球數千企業及多個產業。

該擴充功能目前已從Chrome網上應用店移除，以防止進一步的惡意活動。

資訊來源與報導

• PANews – 黑客冒充VC並劫持QuickLens插件，利用ClickFix技術竊取加密資產
• TechubNews – 黑客利用「ClickFix」技術冒充VC 並劫持QuickLens 擴展
• ChainCatcher – ClickFix 攻擊升級，黑客冒充VC 並劫持瀏覽器插件竊取加密資產
• BlockBeats – 「點擊修復」攻擊升級：駭客冒充VC 並劫持瀏覽器插件竊取加密資產
• PANews – 駭客冒充VC並劫持QuickLens插件，利用ClickFix技術竊取加密資產
• Cointelegraph – “ClickFix”黑客偽裝成風投，在最新一輪加密攻擊中劫持QuickLens
• PANews – 黑客冐充VC竝刼持QuickLens挿件，利用ClickFix技術竊取加密資産
• QQ新聞 – 黑客冒充VC並劫持QuickLens插件，利用ClickFix技術竊取加密資產
• Cointelegraph – “ClickFix”駭客偽裝成風投，在最新一輪加密攻擊中劫持QuickLens

來源：https://www.panewslab.com/zh/articles/019cb22d-33a1-746c-8dc2-de5c1c8c56f8