Cybercriminelen gebruiken een nieuwe aanvalsmethode om cryptovaluta te stelen. Via nep-investeringsbedrijven op LinkedIn en een gehackte Chrome-extensie laten hackers slachtoffers onbewust zelf schadelijke software activeren. De techniek heet ClickFix en wordt volgens cybersecurityonderzoekers wereldwijd steeds vaker ingezet.
Volgens beveiligingsbedrijf Moonlock Lab doen aanvallers zich voor als durfkapitaalbedrijven met namen als SolidBit, MegaBit en Lumax Capital. Via LinkedIn benaderen zij professionals met voorstellen voor investeringen of samenwerkingen in de cryptosector.
Na een eerste gesprek ontvangen slachtoffers een link naar wat lijkt op een Zoom- of Google Meet-vergadering. In werkelijkheid belanden zij op een nagemaakte webpagina met een valse beveiligingscontrole, vergelijkbaar met een Cloudflare-verificatie.
Op de pagina verschijnt het bekende vakje “Ik ben geen robot”. Wie hierop klikt, activeert ongemerkt de volgende stap. Er wordt automatisch een kwaadaardige opdracht naar het klembord gekopieerd. Het slachtoffer krijgt vervolgens instructies om de terminal te openen en de code te plakken. Daarmee voert het slachtoffer zelf de malware uit.
Dat maakt ClickFix zo effectief. Er wordt geen virusbestand gedownload, waardoor traditionele beveiligingssystemen niets detecteren. Volgens de onderzoekers is de infrastructuur achter de campagne professioneel opgezet. Wanneer een nepbedrijf wordt ontmaskerd, schakelen de daders direct over naar een nieuwe naam.
Naast social engineering via LinkedIn maakten hackers gebruik van een gekaapte Chrome-extensie genaamd QuickLens. Die extensie wisselde op 1 februari van eigenaar. Twee weken later verscheen een update met verborgen kwaadaardige code. Ongeveer 7.000 gebruikers hadden de extensie geïnstalleerd.
De aangepaste versie zocht actief naar cryptowalletgegevens en seed-phrases. Een seed-phrase is een herstelcode waarmee je volledige toegang tot een cryptowallet kunt krijgen. Wie die in handen heeft, kan alle crypto overmaken zonder toestemming van de eigenaar.
Daarnaast verzamelde de malware gegevens uit Gmail, YouTube, opgeslagen inloggegevens en betaalinformatie. De extensie is inmiddels verwijderd uit de Chrome Web Store.
De techniek wordt sinds 2024 steeds vaker gebruikt. Microsoft waarschuwde vorig jaar dat het dagelijks campagnes volgde die duizenden apparaten wereldwijd troffen. Ook cybersecuritybedrijf Unit42 meldde dat ClickFix inmiddels wordt ingezet tegen overheden, energiebedrijven en de detailhandel.
De recente aanvallen laten zien dat cybercriminelen steeds vaker inspelen op menselijk gedrag in plaats van technische kwetsbaarheden. Door vertrouwen te wekken via LinkedIn-profielen of ogenschijnlijk legitieme software, laten aanvallers slachtoffers zelf de schadelijke handeling uitvoeren.
Beveiligingsexperts adviseren extra voorzichtigheid bij onverwachte investeringsvoorstellen, onbekende vergaderlinks en plotselinge updates van browserextensies. Vooral gebruikers van cryptowallets lopen risico.
Miljarden verdwijnen van Aave na hack, terwijl DeFi-investeerders massaal geld opnemen uit angst voor risico’s en onzekerheid.
Het bedrijf, dat veel wordt gebruikt door ontwikkelaars en cryptoprojecten, bevestigde het incident in een officiële verklaring.
De Ethereum Name Service (ENS)-gateway eth.limo is vrijdag slachtoffer geworden van een gerichte domeinkaping.
De mislukte vredesgesprekken met Iran drukken maandag op aandelen. Analisten verwachten een stijgende dollar en olieprijs. De schade kan meevallen als markten het als uitstel zien.
Heeft China lak aan de Amerikaanse blokkade van de Straat van Hormuz? Wat heeft dit te betekenen voor het conflict en de markten?
De scheepvaart door Hormuz is opnieuw tot stilstand gekomen nadat de VS voor het eerst een Iraans schip in beslag namen. De olieprijs stijgt.
