Hvordan svindlere brugte mødeappen 'GrassCall' til at dræne crypto wallets

Krypto-svindlere målrettede intetanende fagfolk med falske jobtilbud og en ondsindet mødeapplikation kaldet GrassCall for at implementere data-stjælende malware designet til at dræne kryptovaluta wallets.

Ifølge en nylig rapport fra BleepingComputer blev det sofistikerede social engineering-svindel orkestreret af den russisk-baserede cyberkriminalitetsgruppe Crazy Evil.

Ordningen er dog nu blevet opgivet, med tilknyttede hjemmesider og LinkedIn-konti fjernet, efter at adskillige ofre meldte sig.

Alligevel lykkedes det, når det var aktivt, at snyde hundredvis af jobsøgende, og nogle rapporterede, at deres krypto wallets var drænet efter at have downloadet den ondsindede GrassCall-app.

Hvordan drænede GrassCall krypto wallets?

Ordningen drejede sig om et falsk kryptofirma kaldet Chain Seeker, som oprettede overbevisende jobopslag på LinkedIn og Web3 jobtavler som CryptoJobsList og WellFound.

Ansøgere ville modtage e-mails, der dirigerede dem til virksomhedens "marketingchef" på Telegram.

Derfra socialt udviklede svindlerne dem til at downloade GrassCall fra en hjemmeside under deres kontrol, som nu er blevet fjernet.

Den ondsindede applikation var tilgængelig til både Windows- og Mac-systemer, og når den først var installeret, implementerede den informationstjælende malware og fjernadgangstrojanske heste (RAT'er) designet til at høste følsomme data og dræne kryptovaluta wallets.

På Windows installerede appen en RAT sammen med infostealere som Rhadamanthys, hvilket gjorde det muligt for angribere at logge tastetryk, opretholde vedholdenhed og implementere seed phishing-angreb rettet mod hårde tegnebøger.

I mellemtiden downloadede Mac-brugere ubevidst Atomic (AMOS) Stealer, som skrabede adgangskoder gemt i Apple Keychain, browsergodkendelsescookies og krypto wallet filer.

Ifølge G0njxa, en cybersikkerhedsforsker citeret i rapporten, blev de stjålne data uploadet til operationens servere med detaljer om kompromitterede konti og tegnebøger delt i Telegram-kanaler, der blev brugt af svindelgruppen.

Hvis en krypto wallet blev opdaget, blev adgangskoder brutalt tvunget, midlerne blev drænet, og svindleren, der lokkede offeret, blev belønnet med et snit af de stjålne aktiver.

Flere iterationer af GrassCall

Cybersikkerhedsfirmaet Recorded Future havde tidligere knyttet Crazy Evil til over ti aktive sociale medier-svindel, og bemærkede, at gruppen er specialiseret i at målrette kryptobrugere gennem brugerdefinerede spearphishing-angreb.

Især GrassCall-svindel er en efterfølger til en tidligere ordning kaldet Gatherum, som fungerede under samme branding og logo.

Trods nedtagningen er der stadig spor efter operationen. Efterforskere fandt en X (tidligere Twitter) konto ved navn VibeCall, der brugte samme branding som GrassCall og Gatherum.

Selvom den blev oprettet i juni 2022, blev kontoen først aktiv i midten af ​​februar, hvilket fik eksperter til at tro, at den muligvis er blevet brugt til fidusen.

Tværtimod er Chain Seekers online tilstedeværelse for det meste forsvundet.

Dens hjemmeside listede engang ledere som Isabel Olmedo (CFO) og Adriano Cattaneo (HR-chef), som begge havde LinkedIn-profiler, der siden er blevet slettet.

En konto under navnet Artjoms Dzalbs, der identificerede sig som virksomhedens administrerende direktør, forblev dog aktiv på rapporteringstidspunktet.

Selvom de dårlige aktører måske har opgivet ordningen, opfordrede eksperterne alle, der måtte have installeret det ondsindede program, til at ændre deres adgangskoder, adgangssætninger og godkendelsestokens.

Krypto-svindlere på GitHub

Som tidligere rapporteret af INvezz, advarede cybersikkerhedsfirmaet Kaspersky for nylig om en anden ordning, der involverer trusselsaktører, der skaber falske depoter på GitHub fyldt med ondsindet kode, der inficerer brugernes enheder ved download.

Ligesom GrassCall installerede malwaren i disse depoter info-tyvere, fjernadgangstrojanske heste og udklipsholdere, når de blev downloadet.