ClickFix 駭客冒充創投公司攻擊加密用戶，QuickLens 惡意劫持曝光

網路安全公司 Moonlock Lab 週一發布報告，揭露以「ClickFix」手法為核心的加密貨幣駭客最新攻擊手段：詐騙者透過偽裝成 SolidBit、MegaBit 等假冒創投公司，在 LinkedIn 上接觸加密從業者提供合作機會，最終誘導受害者自行在電腦終端機執行惡意命令，竊取加密資產。

ClickFix 攻擊手法解析：把受害者變成攻擊執行者

ClickFix 攻擊的核心創新在於徹底顛覆傳統惡意軟體的感染路徑。攻擊流程通常包含以下環節：

第一階段（LinkedIn 社工）：駭客以假創投公司名義聯繫目標用戶，提供看似合法的商業合作機會，建立初步信任。

第二階段（假冒視訊連結）：將目標引導至偽裝成 Zoom 或 Google Meet 的詐騙連結，進入仿真的「活動頁面」。

第三階段（剪貼簿劫持）：頁面呈現偽造的 Cloudflare「我不是機器人」驗證框，點擊後惡意命令被悄悄複製至使用者剪貼簿。

第四階段（自我執行）：提示使用者開啟電腦終端機並貼上「驗證碼」，實際上執行的是攻擊指令。

Moonlock Lab 研究團隊指出：「ClickFix 技術的高效之處，在於它把受害者本身轉化為攻擊的執行機制。讓受害者自行貼上並執行命令，攻擊者就繞過了安全業界多年構建的各種防護措施——無需利用漏洞，也無需觸發可疑下載行為。」

QuickLens 遭劫持事件詳情與惡意功能清單

QuickLens 的被劫持案例呈現出另一種攻擊向量——針對既有合法用戶的供應鏈式攻擊：

2 月 1 日：QuickLens 擴充程式易主（所有權轉讓）

兩週後：新所有者發布含惡意腳本的更新版本

2 月 23 日：安全研究員 Tuckner 公開揭露，擴充程式從 Chrome 網路商店下架

惡意功能清單：

· 搜尋並竊取加密貨幣錢包數據與助記詞（Seed Phrase）

· 抓取用戶 Gmail 收件匣內容

· 竊取 YouTube 頻道資料

· 截取在網頁表單中輸入的登入憑證與支付資訊

根據 eSecurity Planet 的報告，這款被劫持的擴充程式同時部署了 ClickFix 攻擊模組和其他資訊竊取工具，顯示背後操縱者具備多工具協同作戰的能力。

ClickFix 的更廣泛威脅背景

Moonlock Lab 指出，ClickFix 技術自 2025 年以來在威脅行為者中迅速普及，其核心優勢在於利用人類行為而非軟體漏洞，從根本上規避傳統安全工具的偵測邏輯。

微軟威脅情報部門在 2025 年 8 月警告，他們持續追蹤到「每日針對全球數千家企業與終端設備的攻擊活動」；網路威脅情報公司 Unit42 在 2025 年 7 月的報告中，確認 ClickFix 已對製造業、批發零售業、州與地方政府及公用事業能源等多個行業造成影響，遠超出加密貨幣的單一領域。

常見問題

ClickFix 攻擊為何能成功繞過防毒與安全軟體？

傳統防毒軟體的設計邏輯是識別並攔截可疑程式的自動執行。ClickFix 的突破點在於讓「人」成為執行者——由受害者主動輸入並執行命令，而非由惡意軟體自動植入，這使得行為偵測類的安全工具難以識別為威脅，因為終端機執行的看起來像是正常的使用者操作。

如何識別 ClickFix 類型的社會工程攻擊？

主要識別標誌包括：來自不熟悉的 LinkedIn 帳號提供商業合作機會、點擊會議連結後被要求輸入「驗證碼」或「修復步驟」、任何要求你打開終端機（命令提示字元）並貼上代碼的指示，以及偽裝成 Cloudflare、CAPTCHA 的假驗證介面。安全原則是：任何合法服務都不需要要求使用者在終端機執行命令來完成身份驗證。

QuickLens 用戶現在應該採取哪些行動？

若曾安裝 QuickLens 擴充程式，應立即從瀏覽器中移除，同時更換所有可能已受影響的加密貨幣錢包（生成新的助記詞並將資金轉移至新錢包），並重置相關的 Gmail 及其他帳號密碼。建議定期審查已安裝的瀏覽器擴充程式，對所有權近期發生變更的擴充程式保持高度警覺。