PANews는 3월 3일 코인텔레그래프를 인용하여 해커들이 "클릭픽스(ClickFix)" 공격 기법을 이용해 암호화폐를 탈취하고 있다고 보도했습니다. 최근 발생한 두 건의 공격은 벤처 캐피털 회사를 사칭하고 브라우저 확장 프로그램을 악용하는 방식입니다. 사이버 보안 업체 문록 랩(Moonlock Lab)은 사기꾼들이 솔리드비트(SolidBit), 메가비트(MegaBit), 루맥스 캐피털(Lumax Capital)과 같은 가짜 벤처 캐피털을 사칭하여 링크드인을 통해 협업 제안을 하며 사용자들에게 접근한 후, 가짜 줌(Zoom) 및 구글 미트(Google Meet) 링크를 클릭하도록 유도했다고 밝혔습니다. 링크를 클릭하면 사용자는 가짜 클라우드플레어(Cloudflare) "봇이 아닙니다" 인증 상자가 있는 페이지로 이동합니다. 이 상자를 클릭하면 악성 명령어가 클립보드에 복사되고, 사용자는 터미널을 열어 가짜 인증 코드를 붙여넣어 공격을 실행하게 됩니다. 문록 랩은 이러한 방식이 피해자를 악성 프로그램 실행 도구로 만들어 보안 업계의 방어 체계를 무력화시킨다고 지적했습니다.

한편, 해커들은 크롬 확장 프로그램인 퀵렌즈(QuickLens)를 탈취하여 악성코드를 유포하기도 했습니다. 이 확장 프로그램은 사용자들이 브라우저에서 직접 구글 렌즈(Google Lens) 검색을 실행할 수 있도록 해주는 도구였습니다. 소유권이 이전된 후, 새 버전에는 클릭픽스(ClickFix) 공격을 실행하고 정보를 탈취할 수 있는 악성 스크립트가 포함되어 있었습니다. 약 7,000명의 사용자를 보유한 이 탈취된 확장 프로그램은 암호화된 지갑 데이터와 니모닉 구문을 검색하여 자금을 탈취하고, Gmail 받은 편지함 내용, YouTube 채널 데이터, 웹 양식에 입력된 로그인 자격 증명 또는 결제 정보 등을 수집했습니다. 해당 확장 프로그램은 크롬 웹 스토어에서 삭제되었습니다. 작년부터 해커들 사이에서 인기를 얻고 있는 클릭픽스 기술은 피해자가 악성 페이로드를 수동으로 실행하도록 강요하며, 전 세계 수천 개의 기업과 산업에 피해를 입혔습니다.