На токен-страницах DEX начали появляться фейковые кнопки с вредоносным кодом

Исследователи из Scam Sniffer сообщили об опасной атаке, направленной на пользователей децентрализованных бирж. На страницах с информацией о токенах, таких как FUCKLAUNCH, была обнаружена поддельная кнопка Website, ведущая на вредоносный домен. При переходе по ссылке пользователю предлагается пройти фейковую верификацию через систему Cloudflare. Однако вместо обычной проверки жертва сталкивается с инструкцией по запуску опасной PowerShell-команды.

На устройствах под управлением Windows всплывает сообщение, в котором просят нажать Windows + R, вставить скопированный текст и подтвердить ввод. На деле пользователь запускает в системе PowerShell-скрипт, который загружает и исполняет код с внешнего сайта. Это открывает злоумышленникам прямой доступ к компьютеру, позволяя украсть данные или установить вредоносное ПО.

На устройствах macOS активность не проявляется — пользователи видят обычную страницу. Это сделано намеренно, чтобы замаскировать атаку от аналитиков и снизить вероятность выявления. Такая избирательность по операционной системе делает нападение более сложным для обнаружения и анализа.

Судя по коду, вредоносный скрипт использует команду iex $confirm, загружая внешнее содержимое с домена four-meme. Это стандартная техника для удаленного исполнения команд в Windows-среде.

Эксперты предупреждают, что подобные схемы могут быть распространены и на другие токены или страницы с DEX-аналитикой. Они рекомендуют с осторожностью относиться к переходам по ссылкам на новых проектах, особенно если сайт предлагает пройти верификацию или выполнить команды в системе. Scam Sniffer призывает пользователей Web3 всегда проверять адреса сайтов вручную, не запускать предложенные команды с незнакомых ресурсов и использовать антивирусное программное обеспечение.

Автор

Петр Иванов