clickfix

ハッカーがClickFix手法を使用して、現在はベンチャーキャピタリスト（VC）を装い、QuickLensのようなブラウザー拡張機能をハイジャックし、暗号通貨盗難攻撃の波を引き起こしています。

ClickFix手法は、昨年暗号詐欺師の間で人気が急上昇し、被害者をだまして悪意のあるコードを手動で実行させます。これは、検証、ブラウザーの更新、またはCAPTCHAチェックのふりをしてコマンドをコピー＆ペーストさせることによって行われます。このソーシャルエンジニアリングは、ユーザーが知らず知らずのうちに実行メカニズムとなるため、多くの従来のセキュリティ防御を回避します。

セキュリティ研究者は2024年からClickFixを監視しており、最初は暗号だけでなくさまざまな分野をターゲットにしているのを確認しました。最近の事件では、攻撃者は2つの顕著な方法で戦術を進化させています：

- VCのなりすまし — 詐欺師は偽の企業（例：SolidBit、MegaBit、Lumax Capital）を作成し、魅力的なパートナーシップや投資の提案を持ってLinkedInで接触します。被害者はその後、偽のZoomまたはGoogle Meetリンクに誘導され、さらなる侵害とClickFixの展開が行われて暗号資産が盗まれます。

- QuickLensのハイジャック — 以前は正当なChrome拡張機能「QuickLens - Google Lensでの検索画面」（約7,000ユーザーがいて、かつてはGoogleの特集バッジを獲得していた）は、所有権の変更後に侵害されました。悪意のある更新（バージョン5.8、2026年2月17日頃にリリース）は、情報を盗む機能とClickFixのプロンプトを導入しました。ブラウザーのセキュリティ機能を剥奪し、攻撃者が制御するサーバーと通信し、偽のGoogle更新アラートを表示し、最終的には暗号通貨ウォレット、資格情報、シードフレーズなどをターゲットにしました。この拡張機能はその後Chromeウェブストアから削除されました。

これらの攻撃は、脅威の行為者が供給チェーンの侵害（拡張機能の乗っ取りのような）をターゲットを絞ったフィッシングやユーザー操作と組み合わせて、暗号資産を効果的に引き出す方法を強調しています。暗号空間のユーザーは、未承諾のVCの接触に対して警戒を怠らず、未知のコマンドを実行することを避け、定期的にインストールされたブラウザー拡張機能を監査する必要があります。

#Clickfix #cryptothreat #CryptoAttacks