Специалисты компании Moonlock Lab обнаружили масштабную кампанию, направленную против разработчиков в сфере Web3 и криптовалют. Злоумышленники создают поддельные аккаунты в LinkedIn, выдавая себя за представителей венчурных фондов. Они находят потенциальных жертв, хвалят их проекты и предлагают сотрудничество, после чего отправляют ссылки на фальшивые видеоконференции, ведущие к заражению устройств.

Для убедительности атакующие разработали три фиктивных криптофонда — SolidBit Capital, MegaBit и Lumax Capital. Их сайты выглядят профессионально: содержат вымышленную историю, инвестиционное портфолио и фотографии «руководителей», сгенерированные нейросетями. Общение ведется от имени топ-менеджеров этих структур, а после переписки в мессенджерах жертве отправляют ссылку, ведущую на поддельную страницу видеосервиса.

Заражение происходит через технику ClickFix. Пользователь попадает на точную копию сайта Zoom или Google Meet, где его просят пройти проверку Cloudflare. Нажатие на кнопку копирует вредоносный код в буфер обмена, после чего анимированная инструкция убеждает жертву вставить его в терминал.