Cybercriminelen gebruiken LinkedIn voor nieuwe crypto-aanval

Cybercriminelen gebruiken een nieuwe aanvalsmethode om cryptovaluta te stelen. Via nep-investeringsbedrijven op LinkedIn en een gehackte Chrome-extensie laten hackers slachtoffers onbewust zelf schadelijke software activeren. De techniek heet ClickFix en wordt volgens cybersecurityonderzoekers wereldwijd steeds vaker ingezet.

Nep-durfkapitaalbedrijven benaderen professionals via LinkedIn

Volgens beveiligingsbedrijf Moonlock Lab doen aanvallers zich voor als durfkapitaalbedrijven met namen als SolidBit, MegaBit en Lumax Capital. Via LinkedIn benaderen zij professionals met voorstellen voor investeringen of samenwerkingen in de cryptosector.

Na een eerste gesprek ontvangen slachtoffers een link naar wat lijkt op een Zoom- of Google Meet-vergadering. In werkelijkheid belanden zij op een nagemaakte webpagina met een valse beveiligingscontrole, vergelijkbaar met een Cloudflare-verificatie.

Slachtoffer voert zelf de schadelijke code uit

Op de pagina verschijnt het bekende vakje “Ik ben geen robot”. Wie hierop klikt, activeert ongemerkt de volgende stap. Er wordt automatisch een kwaadaardige opdracht naar het klembord gekopieerd. Het slachtoffer krijgt vervolgens instructies om de terminal te openen en de code te plakken. Daarmee voert het slachtoffer zelf de malware uit.

Dat maakt ClickFix zo effectief. Er wordt geen virusbestand gedownload, waardoor traditionele beveiligingssystemen niets detecteren. Volgens de onderzoekers is de infrastructuur achter de campagne professioneel opgezet. Wanneer een nepbedrijf wordt ontmaskerd, schakelen de daders direct over naar een nieuwe naam.

Gehackte Chrome-extensie jaagt op seed-phrases

Naast social engineering via LinkedIn maakten hackers gebruik van een gekaapte Chrome-extensie genaamd QuickLens. Die extensie wisselde op 1 februari van eigenaar. Twee weken later verscheen een update met verborgen kwaadaardige code. Ongeveer 7.000 gebruikers hadden de extensie geïnstalleerd.

De aangepaste versie zocht actief naar cryptowalletgegevens en seed-phrases. Een seed-phrase is een herstelcode waarmee je volledige toegang tot een cryptowallet kunt krijgen. Wie die in handen heeft, kan alle crypto overmaken zonder toestemming van de eigenaar.

Daarnaast verzamelde de malware gegevens uit Gmail, YouTube, opgeslagen inloggegevens en betaalinformatie. De extensie is inmiddels verwijderd uit de Chrome Web Store.

ClickFix groeit uit tot wereldwijde dreiging

De techniek wordt sinds 2024 steeds vaker gebruikt. Microsoft waarschuwde vorig jaar dat het dagelijks campagnes volgde die duizenden apparaten wereldwijd troffen. Ook cybersecuritybedrijf Unit42 meldde dat ClickFix inmiddels wordt ingezet tegen overheden, energiebedrijven en de detailhandel.

De recente aanvallen laten zien dat cybercriminelen steeds vaker inspelen op menselijk gedrag in plaats van technische kwetsbaarheden. Door vertrouwen te wekken via LinkedIn-profielen of ogenschijnlijk legitieme software, laten aanvallers slachtoffers zelf de schadelijke handeling uitvoeren.

Beveiligingsexperts adviseren extra voorzichtigheid bij onverwachte investeringsvoorstellen, onbekende vergaderlinks en plotselinge updates van browserextensies. Vooral gebruikers van cryptowallets lopen risico.