На платформах DEX обнаружена вредоносная кнопка Website

Исследователи из Scam Sniffer сообщили об опасной атаке, направленной на пользователей децентрализованных бирж. На страницах информации о токенах, таких как FUCKLAUNCH, была обнаружена поддельная кнопка Website, ведущая на вредоносный домен. При нажатии на ссылку пользователю предлагается пройти фальшивую верификацию через систему Cloudflare. Однако вместо обычной проверки жертва сталкивается с инструкциями по запуску опасной команды PowerShell.

На устройствах под управлением Windows появляется сообщение, в котором пользователю предлагается нажать Windows + R, вставить скопированный текст и подтвердить ввод. На самом деле пользователь запускает в системе сценарий PowerShell, который загружает и выполняет код с внешнего сайта. Таким образом злоумышленники получают прямой доступ к компьютеру, что позволяет им красть данные или устанавливать вредоносное ПО.

На устройствах под управлением macOS никакой активности не происходит - пользователи видят обычную страницу. Это сделано специально, чтобы скрыть атаку от аналитиков и снизить вероятность ее обнаружения.