Криптофишинг от поддельных VC и угон расширений Chrome

Киберпреступники усилили кампании по краже криптоактивов, используя две изощрённые тактики: фейковые венчурные фирмы и взлом легитимных расширений браузера. Обе схемы используют метод ClickFix — социальную инженерию, заставляющую жертву самой выполнить вредоносную команду. В феврале 2026 года такие атаки привели к компрометации тысяч кошельков и утечке seed-фраз, API-ключей и персональных данных.

💼 Фейковые венчурные фирмы: SolidBit, MegaBit, Lumax Capital

Исследователи из Moonlock Lab выявили группу мошенников, имитирующих деятельность венчурных фондов. Они создают профессиональные сайты, LinkedIn-профили и даже арендуют офисы в Дубае. Цель — связаться с основателями стартапов и предложить партнёрство.

Один из ключевых аккаунтов — Mykhailo Hureiev, якобы сооснователь SolidBit Capital. Через LinkedIn он приглашает жертв на Zoom- или Google Meet-встречу, где:

1. Показывает deepfake-видео «офиса» и «команды»
2. Сообщает о «технических неполадках» с аудио
3. Просит открыть терминал и вставить «команду для диагностики»

Эта команда устанавливает бэкдор, крадёт данные и передаёт управление системой злоумышленникам.

«Лучшая защита от социальной инженерии — это недоверие к любому запросу, требующему выполнения кода», — Брюс Шнайер, эксперт по кибербезопасности.

🔌 Угон расширений: случай QuickLens

Второй вектор атаки — компрометация легитимных расширений Chrome. В феврале 2026 года хакеры получили контроль над популярным плагином QuickLens (7 000 пользователей), который позволял делать поиск через Google Lens.

После смены владельца 1 февраля новая версия добавила скрытый скрипт, который:

• Сканировал систему на наличие кошельков (MetaMask, Phantom, Ledger Live)
• Выгружал seed-фразы и приватные ключи
• Крал данные из Gmail, YouTube и форм входа

Расширение было удалено из магазина только после жалоб пользователей.

📉 Почему это работает?

ClickFix обходит все традиционные защиты:

• Нет вредоносной загрузки — файл не скачивается, команда вводится вручную
• Нет подозрительных разрешений — терминал уже имеет доступ к файловой системе
• Высокий уровень доверия — жертва общается с «инвестором» или использует знакомое расширение

Как отметили в Moonlock Lab: «Атакующие превратили пользователя в механизм исполнения. Это гениально и ужасающе одновременно».

🛡️ Как защититься?

Эксперты рекомендуют:

• Никогда не запускайте команды из непроверенных источников — даже если это «диагностика» от инвестора
• Проверяйте владельцев расширений в Chrome Web Store — резкая смена аккаунта = красный флаг
• Используйте отдельный браузер для кошельков и финансов
• Отключите JavaScript в расширениях, которым не нужен доступ к страницам

🌍 Глобальный тренд: от фишинга к «профессиональному» обману

По данным Microsoft Threat Intelligence, ClickFix-кампании активны с 2024 года и затрагивают не только крипто, но и:

• Производственный сектор
• Госструктуры
• Энергетические компании

Unit42 сообщает, что ежедневно тысячи устройств становятся жертвами таких атак. Это уже не «скам для лохов» — это промышленная разведка нового поколения.

💡 Заключение: безопасность начинается с скепсиса

В мире, где deepfake’ы и фейковые VC выглядят реальнее реальности, единственная защита — это дисциплина. Никакой инвестор не попросит вас запустить команду в терминале. И никакое расширение не должно иметь доступ к вашим кошелькам.

Как сказал один из исследователей: «Если вам предлагают “быстрое решение”, спросите: “Быстрое для кого?”».