Les cybercriminels exploitent LinkedIn pour une nouvelle attaque cryptographique

Les cybercriminels utilisent une nouvelle méthode d’attaque pour voler des cryptomonnaies. En se faisant passer pour des entreprises d’investissement fictives sur LinkedIn et en piratant une extension Chrome, les hackers amènent les victimes à activer elles-mêmes des logiciels malveillants à leur insu. Cette technique, appelée ClickFix, est de plus en plus souvent utilisée dans le monde entier, selon des chercheurs en cybersécurité.

Des entreprises fictives de capital-risque ciblent des professionnels sur LinkedIn

Selon l’entreprise de sécurité Moonlock Lab, les attaquants se font passer pour des entreprises de capital-risque avec des noms tels que SolidBit, MegaBit et Lumax Capital. Sur LinkedIn, ils contactent des professionnels avec des propositions d’investissement ou de collaboration dans le secteur des cryptomonnaies.

Après un premier contact, les victimes reçoivent un lien vers ce qui semble être une réunion Zoom ou Google Meet. En réalité, elles atterrissent sur une page web factice avec un faux contrôle de sécurité, similaire à une vérification Cloudflare.

La victime exécute elle-même le code malveillant

Sur la page, la case familière « Je ne suis pas un robot » apparaît. En cliquant, la victime active sans le savoir l’étape suivante. Une commande malveillante est automatiquement copiée dans le presse-papiers. La victime reçoit ensuite des instructions pour ouvrir le terminal et coller le code, exécutant ainsi elle-même le logiciel malveillant.

C’est ce qui rend ClickFix si efficace. Aucun fichier viral n’est téléchargé, de sorte que les systèmes de sécurité traditionnels ne détectent rien. Selon les chercheurs, l’infrastructure derrière la campagne est montée de manière professionnelle. Lorsqu’une entreprise fictive est démasquée, les auteurs passent immédiatement à un nouveau nom.

Une extension Chrome piratée s’attaque aux phrases de récupération

En plus de l’ingénierie sociale via LinkedIn, les hackers ont utilisé une extension Chrome piratée appelée QuickLens. Cette extension a changé de propriétaire le 1er février. Deux semaines plus tard, une mise à jour avec du code malveillant caché est apparue. Environ 7 000 utilisateurs avaient installé l’extension.

La version modifiée recherchait activement les informations des portefeuilles cryptographiques et les phrases de récupération. Une phrase de récupération est un code de restauration permettant d’accéder pleinement à un portefeuille de cryptomonnaies. Quiconque s’en empare peut transférer toutes les cryptomonnaies sans le consentement du propriétaire.

De plus, le logiciel malveillant collectait des données provenant de Gmail, YouTube, des identifiants de connexion enregistrés et des informations de paiement. L’extension a depuis été retirée du Chrome Web Store.

ClickFix devient une menace mondiale

Cette technique est de plus en plus utilisée depuis 2024. Microsoft a averti l’année dernière qu’il suivait quotidiennement des campagnes touchant des milliers d’appareils dans le monde entier. L’entreprise de cybersécurité Unit42 a également signalé que ClickFix est désormais utilisé contre des gouvernements, des entreprises énergétiques et des détaillants.

Les attaques récentes montrent que les cybercriminels misent de plus en plus sur le comportement humain plutôt que sur les vulnérabilités techniques. En inspirant confiance via des profils LinkedIn ou des logiciels apparemment légitimes, les attaquants poussent les victimes à exécuter elles-mêmes les actions malveillantes.

Les experts en sécurité conseillent d’être particulièrement prudents face aux propositions d’investissement inattendues, aux liens de réunion inconnus et aux mises à jour soudaines des extensions de navigateur. Les utilisateurs de portefeuilles de cryptomonnaies sont particulièrement à risque.