Acabo de ver un informe sobre un ataque de ClickFix que se ha intensificado aún más, lo cual es preocupante para quienes poseen activos digitales.

Según lo reportado por Moonlock Lab, los hackers han ajustado su estrategia, haciéndose pasar por empresas de inversión ficticias conocidas, como SolidBit, MegaBit o Lumax Capital, y enviando invitaciones a eventos a través de LinkedIn a las víctimas. Cuando la víctima hace clic en un enlace falso de Zoom o Google Meet, se encuentra con una página web que tiene un botón de CAPTCHA de Cloudflare falso, que parece muy real.

El truco más peligroso es que, al hacer clic en ese botón, el sistema copia en el portapapeles un comando malicioso, y engaña a la víctima para que lo pegue y lo ejecute en la terminal. Los hackers usan este método porque evita los mecanismos tradicionales de protección de seguridad. La víctima misma ejecuta el comando, lo que hace difícil su detección.

Otra cosa preocupante es que John Tuckner de Annex Security reveló que la extensión de Chrome llamada QuickLens fue comprometida por los hackers después de cambiar de propietario en poco tiempo. Esta extensión tiene aproximadamente 7,000 usuarios, y tras dos semanas, se lanzó una nueva versión con scripts peligrosos vinculados al ataque de ClickFix.

¿Qué puede hacer esta extensión comprometida? Escanear datos de billeteras digitales, extraer información de recuperación, y también acceder a correos electrónicos de Gmail, datos de YouTube y credenciales de inicio de sesión en diferentes sitios web. La extensión ya fue retirada de la tienda, pero quienes la hayan instalado deben eliminarla urgentemente.

Lo que hay que recordar es que no se deben hacer clic en enlaces de fuentes desconocidas y no confiar en invitaciones a eventos de empresas de inversión que nunca hayan contactado antes. Aunque parezcan oficiales, los enlaces enviados por LinkedIn también deben ser verificados cuidadosamente, porque muchas personas ya han sido sorprendidas por estos métodos.