Cómo los estafadores utilizaron la aplicación de reuniones 'GrassCall' para vaciar crypto wallets

Estafadores de criptomonedas atacaron a profesionales desprevenidos con ofertas de trabajo falsas y una aplicación maliciosa para reuniones llamada GrassCall, con el fin de desplegar malware que roba datos y está diseñado para vaciar wallets de criptomonedas.

Según un informe reciente de BleepingComputer, la sofisticada estafa de ingeniería social fue orquestada por el grupo de ciberdelincuencia Crazy Evil, con sede en Rusia.

Sin embargo, el plan ha sido abandonado, y los sitios web y las cuentas de LinkedIn asociadas han sido eliminadas después de que numerosas víctimas se presentaran.

Sin embargo, mientras estuvo activo, el fraude logró engañar a cientos de solicitantes de empleo, y algunos informaron que sus wallets criptomonedas fueron vaciadas después de descargar la aplicación maliciosa GrassCall.

¿Cómo drenó GrassCall las wallets de criptomonedas?

El plan giraba en torno a una empresa criptográfica falsa llamada Chain Seeker, que publicó ofertas de trabajo convincentes en LinkedIn y en bolsas de trabajo de Web3 como CryptoJobsList y WellFound.

Los solicitantes recibirían correos electrónicos que los dirigirían al "jefe de marketing" de la empresa en Telegram.

Desde allí, los estafadores utilizaron técnicas de ingeniería social para que descargaran GrassCall desde un sitio web bajo su control, que ahora ha sido desmantelado.

La aplicación maliciosa estaba disponible para sistemas Windows y Mac y, una vez instalada, desplegaba malware para robar información y troyanos de acceso remoto (RAT) diseñados para recopilar datos confidenciales y vaciar wallets criptomonedas.

En Windows, la aplicación instaló un RAT junto con ladrones de información como Rhadamanthys, permitiendo a los atacantes registrar pulsaciones de teclas, mantener la persistencia y desplegar ataques de phishing dirigidos a monederos físicos.

Mientras tanto, los usuarios de Mac descargaron sin saberlo Atomic (AMOS) Stealer, que extrajo contraseñas almacenadas en el llavero de Apple, cookies de autenticación del navegador y archivos de wallet de criptomonedas .

Según G0njxa, un investigador de ciberseguridad citado en el informe, los datos robados se subieron a los servidores de la operación, y los detalles sobre las cuentas y billeteras comprometidas se compartieron en canales de Telegram utilizados por el grupo estafador.

Si se detectaba una wallet criptomonedas , se realizaba un ataque de fuerza bruta a las contraseñas, se drenaban los fondos y el estafador que había atraído a la víctima recibía una parte de los activos robados.

Múltiples iteraciones de GrassCall

La empresa de ciberseguridad Recorded Future había vinculado previamente a Crazy Evil con más de diez estafas activas en redes sociales, señalando que el grupo se especializa en atacar a usuarios de criptomonedas mediante ataques de spear phishing personalizados.

Cabe destacar que la estafa GrassCall es sucesora de un esquema anterior llamado Gatherum, que operaba bajo la misma marca y logotipo.

A pesar del desmantelamiento, quedan rastros de la operación. Los investigadores encontraron una cuenta de X (antes Twitter) llamada VibeCall, que utilizaba la misma marca que GrassCall y Gatherum.

Aunque se creó en junio de 2022, la cuenta solo se activó a mediados de febrero, lo que lleva a los expertos a creer que podría haberse reutilizado para la estafa.

Por el contrario, la presencia en línea de Chain Seeker ha desaparecido casi por completo.

Su sitio web llegó a incluir a ejecutivos como Isabel Olmedo (directora financiera) y Adriano Cattaneo (director de recursos humanos), ambos con perfiles de LinkedIn que posteriormente fueron eliminados.

Sin embargo, una cuenta con el nombre de Artjoms Dzalbs, que se identificaba como el CEO de la empresa, permanecía activa en el momento de la publicación de la noticia.

Aunque los ciberdelincuentes pueden haber abandonado el plan, los expertos instaron a cualquiera que haya instalado la aplicación maliciosa a cambiar sus contraseñas, frases de contraseña y tokens de autenticación.

Estafadores de criptomonedas en GitHub

Como informó anteriormente INvezz, la empresa de ciberseguridad Kaspersky advirtió recientemente sobre otro esquema que implica a actores maliciosos creando repositorios falsos en GitHub llenos de código malicioso que infecta los dispositivos de los usuarios al descargarlo.

Al igual que GrassCall, el malware de estos repositorios desplegaba robadores de información, troyanos de acceso remoto y secuestradores del portapapeles una vez descargado.