Rapid7 сообщила о небольшой серии ClickFix-фишинговых атак на компании в США и ЕС. Злоумышленники маскировали вредоносную загрузку под установщик Claude: 9 апреля аналитики зафиксировали запуск mshta через окно Run, а ссылка вела на файл claude.msixbundle. По данным Rapid7, файл выглядел как MSIX-пакет, но по сути был ZIP-архивом. Атаку удалось остановить до дальнейшей компрометации.
Для 1С это важно потому, что такой вход часто бьёт по рабочим станциям и серверам, с которых администрируют MSSQL, PostgreSQL, архивы, резервные копии и VM-диски. Если атакующий закрепится в инфраструктуре, следующей целью нередко становятся сами базы и бэкапы, а это резко ухудшает шансы на быстрое восстановление.
Источник: https://www.rapid7.com/blog/post/ve-clickfix-phishing-campaign-fake-claude-installer