Wie Betrüger die Meeting-App „GrassCall“ nutzten, um Crypto wallets zu leeren

Krypto-Betrüger zielten mit gefälschten Stellenangeboten und einer bösartigen Meeting-App namens GrassCall auf ahnungslose Fachkräfte ab, um datenstehlende Malware einzusetzen, die darauf ausgelegt war, Cryptocurrency wallets zu leeren.

Laut einem aktuellen Bericht von BleepingComputer wurde der ausgeklügelte Social-Engineering-Betrug von der in Russland ansässigen Cyberkriminellengruppe Crazy Evil inszeniert.

Das Programm wurde jedoch inzwischen eingestellt, und die dazugehörigen Webseiten und LinkedIn-Konten wurden nach zahlreichen Meldungen von Opfern abgeschaltet.

Dennoch gelang es dem Betrug, als er aktiv war, Hunderte von Jobsuchenden zu täuschen, wobei einige berichteten, dass ihre Crypto wallets nach dem Herunterladen der bösartigen GrassCall-App leergeräumt wurden.

Wie hat GrassCall Crypto wallets leergeräumt?

Das Schema drehte sich um ein gefälschtes Krypto-Unternehmen namens Chain Seeker, das überzeugende Stellenangebote auf LinkedIn und Web3-Jobbörsen wie CryptoJobsList und WellFound schaltete.

Bewerber würden E-Mails erhalten, die sie an den „Marketingchef“ des Unternehmens auf Telegram weiterleiten.

Von dort aus manipulierten die Betrüger sie durch Social Engineering dazu, GrassCall von einer Website herunterzuladen, die unter ihrer Kontrolle stand und inzwischen abgeschaltet wurde.

Die bösartige Anwendung war sowohl für Windows- als auch für Mac-Systeme verfügbar und installierte nach der Installation informationsstehlende Malware und Remote-Access-Trojaner (RATs), die darauf ausgelegt waren, sensible Daten zu sammeln und Cryptocurrency wallets zu leeren.

Unter Windows installierte die App neben Infostealern wie Rhadamanthys auch einen RAT (Remote Access Trojaner), der es Angreifern ermöglichte, Tastatureingaben zu protokollieren, die Persistenz aufrechtzuerhalten und gezielte Phishing-Angriffe auf Hardware-Wallets durchzuführen.

In der Zwischenzeit luden Mac-Benutzer unwissentlich den Atomic (AMOS) Stealer herunter, der in der Apple Keychain gespeicherte Passwörter, Browser-Authentifizierungs-Cookies und Crypto wallet -Dateien auslas.

Laut G0njxa, einem in dem Bericht zitierten Cybersicherheitsforscher, wurden die gestohlenen Daten auf die Server der Operation hochgeladen, wobei Details zu kompromittierten Konten und Wallets in Telegram-Kanälen geteilt wurden, die von der Betrügergruppe genutzt wurden.

Wurde eine Crypto wallet entdeckt, wurden Passwörter per Brute-Force-Methode geknackt, Gelder abgezogen und der Betrüger, der das Opfer angelockt hatte, mit einem Anteil der gestohlenen Vermögenswerte belohnt.

Mehrere Iterationen von GrassCall

Das Cybersicherheitsunternehmen Recorded Future hatte Crazy Evil zuvor mit über zehn aktiven Social-Media-Betrugsfällen in Verbindung gebracht und darauf hingewiesen, dass sich die Gruppe auf gezielte Spearphishing-Angriffe auf Krypto-Nutzer spezialisiert hat.

Bemerkenswert ist, dass der GrassCall-Betrug ein Nachfolger des früheren Systems Gatherum ist, das unter demselben Markennamen und Logo operierte.

Trotz der Zerschlagung bleiben Spuren der Operation zurück. Ermittler fanden einen X-Account (ehemals Twitter) namens VibeCall, der das gleiche Branding wie GrassCall und Gatherum verwendete.

Obwohl das Konto im Juni 2022 erstellt wurde, wurde es erst Mitte Februar aktiv, was Experten zu der Annahme veranlasst, dass es möglicherweise für den Betrug umfunktioniert wurde.

Im Gegenteil, die Online-Präsenz von Chain Seeker ist größtenteils verschwunden.

Auf der Website wurden einst Führungskräfte wie Isabel Olmedo (CFO) und Adriano Cattaneo (Personalmanager) aufgeführt, deren LinkedIn-Profile inzwischen gelöscht wurden.

Ein Konto unter dem Namen Artjoms Dzalbs, das sich als CEO des Unternehmens ausgab, war zum Zeitpunkt der Berichterstattung jedoch noch aktiv.

Obwohl die Täter das Schema möglicherweise aufgegeben haben, forderten die Experten alle, die die schädliche Anwendung installiert haben könnten, auf, ihre Passwörter, Passphrasen und Authentifizierungstoken zu ändern.

Krypto-Betrüger auf GitHub

Wie INvezz bereits berichtete, warnte das Cybersicherheitsunternehmen Kaspersky kürzlich vor einer weiteren Masche, bei der Bedrohungsakteure gefälschte Repositories auf GitHub erstellen, die mit Schadcode gefüllt sind und die Geräte der Benutzer beim Herunterladen infizieren.

Ähnlich wie GrassCall setzten die in diesen Repositorien enthaltenen Schadprogramme nach dem Herunterladen Informationsdiebe, Remote-Access-Trojaner und Clipboard-Hijacker ein.