Los hackers de ClickFix secuestran QuickLens: robo de criptomonedas y impacto en el mercado.

El compromiso comenzó con un cambio de rutina: la extensión QuickLens Chrome, que se había vuelto cada vez más importante.Aproximadamente 7,000 usuarios.Incluso ganó el “Google Featured Badge”. Posteriormente, su propiedad se transfirió el 1 de febrero a una nueva entidad: support@doodlebuggle.top, bajo la categoría “LLC Quick Lens”. Unas dos semanas después, el 17 de febrero, se implementó una actualización maliciosa. La versión 5.8 introdujo scripts que eliminaban los encabezados de seguridad del navegador y conectaban los dispositivos infectados a un servidor de control. Esto creaba un “backdoor” persistente en los dispositivos afectados.

La técnica principal utilizada es ClickFix. Se trata de una campaña de ingeniería social que ha sido…Se trata de dirigir a miles de dispositivos en todo el mundo cada día.Funciona al engañar a los usuarios para que ejecuten comandos maliciosos, a través de páginas CAPTCHA o páginas de “actualización” que imitan marcas legítimas. Okta Threat Intelligence señala que estas campañas forman parte de un plan más amplio…Ecosistema de “crimen como servicio” (Crime-as-a-Service, CaaS)Allí, los atacantes pagan para poder implementar diversas familias de software malicioso. El objetivo es obtener datos confidenciales, incluyendo detalles sobre las carteras de criptomonedas que se guardan en los dispositivos de los usuarios.

El “QuickLens Hijack” es un ejemplo típico de este tipo de malware iterativo. La actualización de la extensión no solo transmitía el payload inicial, sino que también establecía un ciclo de consultas cada cinco minutos con el servidor C2. Esto permite a los atacantes enviar nuevas instrucciones, actualizar el malware y extraer los datos robados en tiempo real. El vector de ataque es de baja tecnología, pero eficaz: aprovecha la confianza que los usuarios tienen en una extensión que alguna vez fue funcional, así como el instinto humano de resolver problemas técnicos menores, evitando así las verificaciones de seguridad automatizadas.

Flujo financiero directo: El impacto del robo y de las tokens

La actualización maliciosa apunta específicamente a las carteras de criptomonedas, lo que hace que los usuarios transfieran sus fondos a nuevas direcciones. Se trata de una forma directa de robo: los atacantes obtienen información sobre las carteras y inician transferencias, convirtiendo los activos robados en efectivo u otros tokens. El mecanismo utilizado por el ataque, que consiste en usar una extensión comprometida para distribuir malware, crea un riesgo elevado de pérdidas financieras inmediatas.

En el mercado de tokens, LENS presenta un contraste marcado entre el ruido a corto plazo y la actitud general a largo plazo. El precio ha aumentado.2.83% ayerPero las cifras de los últimos 30 días indican una disminución del 20.41%. Esta divergencia sugiere que el impacto negativo del ataque es tan grande que supera cualquier aumento temporal en los precios. Probablemente, esto se debe al miedo y a la presión de venta por parte de los propietarios de las acciones afectadas.

La extrema vulnerabilidad de este token se debe a su muy bajo valor de mercado. Con un valor de mercado de solo 11,54 mil dólares, incluso un robo menor podría tener un impacto significativo en su oferta en circulación y en la estabilidad de su precio. Esto lo convierte en un objetivo de alto riesgo; los fondos robados podrían representar una proporción importante del total de tokens disponibles, lo que aumentaría el daño financiero más allá de las pérdidas inmediatas de los usuarios.

Catalizadores y riesgos: Lo que hay que tener en cuenta

El indicador que más se debe observar es la actividad bursátil en LENS. A medida que los fondos robados son transferidos o liquidados, se espera que haya un aumento en esa actividad.Volumen de negociaciónY también, la posible volatilidad de los precios. Dado el pequeño valor de mercado del token, incluso las ventas moderadas podrían causar fluctuaciones significativas en los precios. Por lo tanto, el volumen de transacciones es un indicador clave para determinar si los atacantes están convirtiendo los activos o simplemente los mantienen en su posesión.

La amenaza más grave es la expansión. La campaña de ClickFix no es algo estático; está en constante cambio.En constante desarrollo y evolución.Con nuevas variantes de malware y capacidades de funcionamiento en múltiples plataformas. El patrón de ataque, que utiliza repositorios falsos y técnicas de ingeniería social para transmitir programas maliciosos, puede ser replicado. Es importante estar alerta a cualquier tipo de ataque similar dirigido a otros protocolos DeFi o tokens con bajas capacidades, ya que esto aumentaría la superficie de ataque y el riesgo sistémico.

El principal riesgo financiero es la pérdida permanente de confianza en el proyecto. Si se considera que el ecosistema está comprometido, la liquidez podría detenerse, ya que los usuarios y comerciantes abandonarían el mercado. Esto generaría una presión de precios continua, independientemente de las características fundamentales del token. El déficit de confianza es la verdadera vulnerabilidad, lo que convierte un simple error técnico en una devaluación permanente del mercado.