Исследовательская группа Scam Sniffer обнаружила новую опасную схему, нацеленную на пользователей децентрализованных платформ. Мошенники размещают на страницах токенов, таких как FUCKLAUNCH, фальшивую кнопку «Website», которая ведёт не на официальный сайт проекта, а на вредоносный домен. Там жертве предлагают пройти якобы стандартную проверку через сервис Cloudflare, но вместо привычной капчи отображается инструкция по запуску командной строки с использованием PowerShell.
Пользователям Windows отображается сообщение с просьбой нажать комбинацию клавиш Win + R, вставить предложенный текст и запустить его. Однако за безобидным с виду сценарием скрывается активация PowerShell-скрипта, который автоматически загружает вредоносный код с внешнего ресурса и запускает его на компьютере. Таким образом, злоумышленники получают доступ к операционной системе, что позволяет красть данные, устанавливать вирусы и полностью контролировать устройство.
Пользователи macOS, напротив, видят обычную страницу без вредоносной активности. Этот приём — часть маскировки кибератаки, затрудняющей обнаружение угрозы аналитиками и автоматизированными защитными системами. Такой выборочный подход по операционным системам делает атаку более точной и менее заметной.
По техническому анализу, вредоносный код использует команду iex $confirm, которая позволяет загружать и исполнять скрипты напрямую из интернета — типичная тактика для атак на системы под Windows. Вредоносное содержимое загружается с домена four-meme, специально созданного для этой цели.
Эксперты настоятельно советуют быть особенно внимательными при переходе на сайты новых криптопроектов, особенно если ресурсы требуют верификации или предлагают выполнить системные команды. Scam Sniffer предупреждает: ни в коем случае нельзя запускать команды из источников с сомнительной репутацией. Пользователям Web3 следует вручную проверять адреса сайтов, избегать непроверенных кнопок и использовать антивирусное ПО.
источник
уникальность