Les hackers ont changé de terrain de chasse. Oubliez les failles techniques : ils ciblent désormais votre cerveau. Via de fausses sociétés VC sur LinkedIn et une extension Chrome piégée, une nouvelle vague d’attaques ClickFix vide silencieusement les wallets crypto. Et la victime ne voit rien venir.
En bref
- Des hackers crypto usurpent l’identité de sociétés VC fictives sur LinkedIn pour piéger leurs victimes via ClickFix.
- L’extension Chrome QuickLens a été compromise pour voler des wallets et des données Gmail.
- La technique ClickFix contourne les outils de sécurité en forçant la victime à exécuter elle-même le malware.
ClickFix : La Technique d’Ingénierie Sociale qui Retourne la Victime Contre Elle-Même
La menace prend une forme redoutablement humaine. Selon un rapport publié lundi par Moonlock Lab, des pirates crypto contactent leurs cibles sur LinkedIn en se faisant passer pour des investisseurs de capital-risque issus de sociétés fictives : SolidBit, MegaBit ou encore Lumax Capital. Ils proposent des partenariats alléchants, puis orientent leurs victimes vers de faux liens Zoom ou Google Meet.
Une fois sur la page frauduleuse, l’utilisateur tombe sur une fausse vérification Cloudflare. En cliquant sur « Je ne suis pas un robot », une commande malveillante se copie silencieusement dans son presse-papiers. Les pirates l’invitent ensuite à ouvrir son terminal et à coller ce qu’il croit être un simple code de vérification, déclenchant ainsi l’attaque.
Ce mécanisme est précisément la force de ClickFix. « En transformant la victime en mécanisme d’exécution, les attaquants contournent les contrôles que l’industrie a mis des années à mettre en place. Aucune exploitation de faille. Aucun téléchargement suspect », souligne Moonlock Lab. L’attaque repose entièrement sur la confiance accordée par la victime.
Moonlock Lab identifie un certain Mykhailo Hureiev, présenté comme cofondateur de SolidBit Capital, comme l’interlocuteur principal sur LinkedIn. Deux utilisateurs de X ont également signalé des échanges suspects avec ce profil. Cependant, les chercheurs précisent que l’infrastructure est conçue pour changer d’identité dès qu’une façade est exposée.
QuickLens Détournée : Une Extension Chrome Transformée en Outil de Vol Crypto
Parallèlement à cette campagne d’usurpation, une autre attaque ClickFix cible les utilisateurs via une extension Chrome compromise. QuickLens, un outil permettant d’effectuer des recherches Google Lens directement depuis le navigateur, a été retiré du Chrome Web Store après avoir été détourné pour diffuser des malwares.
D’après John Tuckner, fondateur d’Annex Security, le changement de propriétaire de QuickLens le 1er février a tout déclenché. Deux semaines plus tard, une version infectée intégrant des scripts malveillants ClickFix était déployée auprès des quelque 7 000 utilisateurs de l’extension.
Cette version vérolée ciblait des données très sensibles : phrases de récupération de wallets crypto, contenu des boîtes Gmail, données de chaînes YouTube, identifiants de connexion et informations bancaires saisies dans des formulaires web, selon un rapport d’eSecurity Planet du 2 mars.
La technique ClickFix n’est pas nouvelle, Microsoft Threat Intelligence la surveillait déjà en 2024, alertant sur des campagnes touchant « des milliers d’appareils d’entreprises chaque jour ». Unit42 avait, quant à elle, documenté son impact sur la fabrication, le commerce de détail, les gouvernements locaux et le secteur de l’énergie.
ClickFix marque une évolution inquiétante dans la cybercriminalité crypto. Les hackers n’exploitent plus les failles techniques, ils exploitent la psychologie humaine. Face à des attaques aussi bien déguisées, la vigilance sur LinkedIn et la prudence vis-à-vis des extensions de navigateur constituent désormais une ligne de défense essentielle pour tout détenteur de crypto.
