Только что увидел тревожный отчет от Moonlock Lab о нападении ClickFix, в котором используются новые техники, и они довольно умны в плохом смысле слова.

Хакеры начали выдавать себя за инвестиционные компании, связываясь через LinkedIn с приглашениями на работу, а затем направляя жертв на поддельные встречи в Zoom или Google Meet. Страницы содержат фальшивые кнопки Cloudflare, при нажатии на которые копируется опасная команда в буфер обмена, а затем обманом заставляют пользователя вставить и выполнить ее в терминале. Этот метод хорош для хакеров, потому что он превращает жертву в исполнителя команд, обходя естественные механизмы защиты.

Но есть и более серьезная проблема: расширение Chrome под названием QuickLens было захвачено после смены владельца в начале прошлого месяца. Джон Такнер из Annex Security сообщил, что злоумышленники выпустили новую версию с вредоносным скриптом спустя две недели. Расширение использует около 7 000 пользователей.

Что делает это расширение, довольно опасно. Оно сканирует данные цифрового кошелька, фразы восстановления, данные Gmail, YouTube и данные входа или платежей на различных сайтах. Оно маскируется под организации, такие как SolidBit, MegaBit, Lumax Capital, чтобы выглядеть правдоподобно.

Расширение уже удалено из магазина, но это хороший напоминание о необходимости осторожности с источниками расширений и о том, чтобы быть внимательным к приглашениям на работу от незнакомцев в LinkedIn.