Атакующие купили Google Ads на запрос «install claude code», подложили лжестраницу и через PowerShell-команду крадут все cookies, пароли и payment methods из Chrome. Атака работает с 5 мая, Ontinue её разобрали 11 мая. Разбор стадий, обход App-Bound Encryption через IElevator2 и что делать прямо сейчас.
