Только что увидел отчет о все более серьезных атаках ClickFix, что вызывает тревогу у тех, у кого есть цифровые активы.

По сообщению Moonlock Lab, хакеры адаптировали новую стратегию, маскируясь под известные инвестиционные компании, такие как SolidBit, MegaBit или Lumax Capital, и отправляют приглашения на мероприятия через LinkedIn. Когда жертва кликает по поддельной ссылке Zoom или Google Meet, она попадает на сайт с фальшивой кнопкой Cloudflare CAPTCHA, выглядящей очень реалистично.

Самый коварный трюк заключается в том, что при нажатии на эту кнопку система копирует вредоносную команду в буфер обмена, а затем обманывает жертву, чтобы она вставила и запустила команду в терминале. Хакеры используют этот метод, потому что он позволяет обойти стандартные механизмы защиты. Жертва сама запускает команду, что усложняет обнаружение.

Еще одна тревожная новость — Джон Такнер из Annex Security сообщил, что расширение Chrome под названием QuickLens было захвачено хакерами после недавней смены владельца. Это расширение использовали около 7 000 человек, и через две недели после захвата была выпущена новая версия с вредоносным скриптом, связанная с атакой ClickFix.

Что умеет захваченное расширение? Оно сканирует данные цифрового кошелька, извлекает восстановительные ключи, а также может получить доступ к Gmail, YouTube и данным входа на различных сайтах. Расширение уже удалено из магазина, но пользователи, установившие его ранее, должны немедленно удалить его.

Важно помнить, что не следует кликать по ссылкам от незнакомых источников и не доверять приглашениям на мероприятия от инвестиционных компаний, с которыми ранее не связывались. Даже если приглашение кажется официальным, необходимо тщательно проверять ссылки, отправленные через LinkedIn, потому что многие уже попались на эту уловку.