PANewsは3月3日、Cointelegraphによると、ハッカーが「ClickFix」攻撃手法を用いて仮想通貨を盗んでいると報じました。最新の2件の攻撃は、ベンチャーキャピタル企業を装い、ブラウザ拡張機能を乗っ取るものでした。サイバーセキュリティ企業Moonlock Labは、詐欺師がSolidBit、MegaBit、Lumax Capitalといった偽のベンチャーキャピタル企業を装い、LinkedIn経由でユーザーにコラボレーションのオファーをし、偽のZoomやGoogle Meetのリンクをクリックするよう誘導したと報告しました。リンクをクリックすると、偽のCloudflare認証ボックス「私はボットではありません」のあるページにリダイレクトされます。このボックスをクリックすると、悪意のあるコマンドがクリップボードにコピーされ、ユーザーは端末を開いて認証コードを貼り付けるよう促され、攻撃が実行されました。Moonlock Labは、この手法は被害者を処刑メカニズムに変え、セキュリティ業界の防御を回避させると指摘しました。

一方、ハッカーはChrome拡張機能「QuickLens」を乗っ取ることでマルウェアを拡散させました。この拡張機能は、ユーザーがブラウザ上で直接Google Lens検索を実行できるようにしていましたが、所有権が移行された後、新バージョンにはClickFix攻撃を開始して情報を窃取する悪意のあるスクリプトが含まれていました。約7,000人のユーザーが利用していたこの乗っ取られた拡張機能は、暗号化されたウォレットデータやニーモニックフレーズを検索して資金を窃取するだけでなく、Gmailの受信トレイの内容、YouTubeチャンネルデータ、ウェブフォームに入力されたログイン認証情報や支払い情報も収集していました。この拡張機能はChromeウェブストアから削除されました。昨年からハッカーの間で人気を集めているClickFix技術は、被害者に悪意のあるペイロードを手動で実行させることで、世界中の何千もの企業や業界に影響を与えています。