كيف استخدم المحتالون تطبيق الاجتماعات "GrassCall" لاستنزاف محافظ العملات المشفرة

استهدف المحتالون في مجال العملات المشفرة المحترفين غير المطلعين بعروض عمل مزيفة وتطبيق اجتماعات ضار يسمى GrassCall لنشر برامج ضارة لسرقة البيانات مصممة لاستنزاف محافظ العملات المشفرة.

وفقًا لتقرير حديث صادر عن BleepingComputer ، تم تدبير عملية الاحتيال الهندسية الاجتماعية المتطورة من قبل مجموعة الجرائم الإلكترونية Crazy Evil التي تتخذ من روسيا مقراً لها.

ومع ذلك، تم الآن التخلي عن المخطط، حيث تم إغلاق المواقع الإلكترونية المرتبطة به وحسابات LinkedIn بعد تقدم العديد من الضحايا.

ومع ذلك، عندما كانت نشطة، نجحت عملية الاحتيال في خداع مئات الباحثين عن عمل، حيث أفاد البعض أن محافظهم المشفرة قد استنفدت بعد تنزيل تطبيق GrassCall الخبيث.

كيف قام GrassCall باستنزاف محافظ العملات المشفرة؟

تدور الخطة حول شركة تشفير وهمية تسمى Chain Seeker، والتي أنشأت قوائم وظائف مقنعة على LinkedIn ومواقع الوظائف على Web3 مثل CryptoJobsList و WellFound.

وسيتلقى المتقدمون رسائل بريد إلكتروني توجههم إلى "مدير التسويق" للشركة على Telegram.

ومن هناك، قام المحتالون بخداعهم اجتماعيًا لتنزيل تطبيق GrassCall من موقع ويب تحت سيطرتهم، والذي تم إغلاقه الآن.

كان التطبيق الخبيث متاحًا لكل من أنظمة Windows وMac، وبمجرد تثبيته، قام بنشر برامج ضارة لسرقة المعلومات وأحصنة طروادة للوصول عن بعد (RATs) المصممة لحصاد البيانات الحساسة واستنزاف محافظ العملات المشفرة.

على نظام التشغيل Windows، قام التطبيق بتثبيت RAT إلى جانب سارقي المعلومات مثل Rhadamanthys، مما يسمح للمهاجمين بتسجيل ضغطات المفاتيح، والحفاظ على الثبات، ونشر هجمات التصيد الاحتيالي التي تستهدف المحافظ الصلبة.

في هذه الأثناء، قام مستخدمو Mac بتنزيل Atomic (AMOS) Stealer دون علمهم، والذي قام بجمع كلمات المرور المخزنة في Apple Keychain وملفات تعريف الارتباط لمصادقة المتصفح وملفات محفظة التشفير.

وقال G0njxa، وهو باحث في مجال الأمن السيبراني تم ذكره في التقرير، إن البيانات المسروقة تم تحميلها إلى خوادم العملية، مع تفاصيل حول الحسابات والمحافظ المخترقة تمت مشاركتها في قنوات Telegram التي تستخدمها مجموعة الاحتيال.

إذا تم اكتشاف محفظة تشفير، يتم اختراق كلمات المرور بالقوة، ويتم استنزاف الأموال، ويتم مكافأة المحتال الذي استدرج الضحية بجزء من الأصول المسروقة.

تكرارات متعددة لـ GrassCall

كانت شركة الأمن السيبراني Recorded Future قد ربطت في السابق مجموعة Crazy Evil بأكثر من عشر عمليات احتيال نشطة على وسائل التواصل الاجتماعي، مشيرة إلى أن المجموعة متخصصة في استهداف مستخدمي العملات المشفرة من خلال هجمات التصيد الاحتيالي المخصصة.

من الجدير بالذكر أن عملية الاحتيال GrassCall هي خليفة لمخطط سابق يسمى Gatherum، والذي كان يعمل تحت نفس العلامة التجارية والشعار.

ورغم عملية الإزالة، لا تزال آثار العملية باقية. فقد عثر المحققون على حساب X (تويتر سابقًا) باسم VibeCall، يستخدم نفس العلامة التجارية مثل GrassCall وGatherum.

على الرغم من إنشائه في يونيو 2022، إلا أن الحساب لم يصبح نشطًا إلا في منتصف فبراير، مما دفع الخبراء إلى الاعتقاد بأنه ربما تم إعادة استخدامه للاحتيال.

على العكس من ذلك، اختفى تقريبًا الوجود الإلكتروني لـ Chain Seeker.

وكان موقعها الإلكتروني قد ذكر في السابق أسماء مسؤولين تنفيذيين مثل إيزابيل أولميدو (المديرة المالية) وأدريانو كاتانيو (مدير الموارد البشرية)، وكان لكل منهما ملفات تعريف على موقع LinkedIn تم مسحها منذ ذلك الحين.

ومع ذلك، ظل حساب باسم Artjoms Dzalbs، الذي يُعرّف عن نفسه بأنه الرئيس التنفيذي للشركة، نشطًا في وقت إعداد هذا التقرير.

ورغم أن الجناة ربما تخلوا عن مخططهم، إلا أن الخبراء حثوا أي شخص ربما قام بتثبيت التطبيق الخبيث على تغيير كلمات المرور وعبارات المرور ورموز المصادقة الخاصة به.

محتالو العملات المشفرة على GitHub

وكما ذكرت INvezz سابقًا، حذرت شركة الأمن السيبراني Kaspersky مؤخرًا من مخطط آخر يتضمن قيام جهات تهديد بإنشاء مستودعات وهمية على GitHub مليئة بالرموز الخبيثة التي تصيب أجهزة المستخدمين عند التنزيل.

مثل GrassCall، قامت البرامج الضارة في هذه المستودعات بنشر سارقي المعلومات، وأحصنة طروادة للوصول عن بعد، ومختطفي الحافظة بمجرد تنزيلها.