Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
Злоумышленники начали незаметно подменять биткоин-адреса под предлогом выгодной сделки по арбитражу криптовалют. Схему обнаружили специалисты BleepingComputer.
Кампания строится на обещаниях огромной прибыли от якобы найденной «уязвимости для арбитража» на платформе обмена криптовалют Swapzone. На деле хакеры запускают вредоносный код, который модифицирует процесс свопа прямо в браузере жертвы.
Обычно атаки в стиле ClickFix нацелены на ОС: пользователей обманом заставляют запускать команды в PowerShell для «исправления ошибок» Windows, что приводит к установке стилеров или шифровальщиков. В данном случае целью стала конкретная сессия в браузере.
По данным СМИ, это один из первых зафиксированных случаев использования механики ClickFix для манипуляции веб-страницами с целью прямой кражи криптовалют.
Для продвижения мошеннической кампании хакеры оставляют комментарии к различным постам на популярном сервисе для хранения текста (строк кода) Pastebin.
Они рекламируют «утечку документации по взлому», которая якобы позволяет заработать $13 000 за два дня, и прикрепляют ссылку на ресурс. «Руководство» в Google Docs описывает схему получения завышенной суммы обмена в определенных парах BTC.
Наблюдения BleepingComputer показали, что документ постоянно просматривают одновременно от одного до пяти человек, что подтверждает активность схемы.
В фальшивом руководстве пользователю предложено:
Этот метод использует функцию браузера javascript: URI, которая позволяет исполнять код в контексте открытого сайта. Анализ показал, что первичный скрипт загружает вторую, сильно запутанную часть нагрузки. Она внедряется в страницу Swapzone, подменяя легитимные сценарии Next.js, отвечающие за проведение транзакций:
