Kuinka huijarit käyttivät GrassCall-kokoussovellusta crypto wallets tyhjentämiseen

Salaushuijarit hyökkäsivät pahaa-aavistamattomiin ammattilaisiin väärennetyillä työtarjouksilla ja haitallisella GrassCall-kokoussovelluksella ottamaan käyttöön tietoja varastavia haittaohjelmia, jotka on suunniteltu tyhjentämään kryptovaluuttalompakot.

BleepingComputerin tuoreen raportin mukaan Venäjällä toimiva Crazy Evil -verkkorikollisuusryhmä organisoi hienostuneen sosiaalisen suunnittelun huijauksen.

Järjestelmä on kuitenkin nyt hylätty, ja siihen liittyvät verkkosivustot ja LinkedIn-tilit on poistettu lukuisten uhrien ilmaantuessa.

Kuitenkin, kun huijaus oli aktiivinen, se onnistui huijaamaan satoja työnhakijoita, ja jotkut ilmoittivat, että heidän kryptolompakot tyhjenivät haitallisen GrassCall-sovelluksen lataamisen jälkeen.

Miten GrassCall tyhjensi kryptolompakot?

Järjestelmä pyörii Chain Seeker -nimisen väärennetyn kryptoyrityksen ympärillä, joka loi vakuuttavia työpaikkailmoituksia LinkedIn- ja Web3-työpaikoilla, kuten CryptoJobsList ja WellFound.

Hakijat saivat sähköpostit, joissa heidät ohjattiin yrityksen "markkinointipäälliköksi" Telegramissa.

Sieltä huijarit saivat heidät lataamaan GrassCall-sovelluksen heidän hallitsemalta verkkosivustolta, joka on nyt poistettu.

Haitallinen sovellus oli saatavilla sekä Windows- että Mac-järjestelmille, ja kun se oli asennettu, se otti käyttöön tietoa varastavat haittaohjelmat ja etäkäyttötroijalaiset (RAT), jotka oli suunniteltu keräämään arkaluontoisia tietoja ja tyhjentämään kryptovaluuttalompakot.

Windowsissa sovellus asensi RAT:n tietovarastajien, kuten Rhadamanthysin, rinnalle, jonka avulla hyökkääjät voivat kirjata näppäinpainalluksia, ylläpitää pysyvyyttä ja ottaa käyttöön tietokalasteluhyökkäyksiä koviin lompakoihin.

Samaan aikaan Mac-käyttäjät latasivat tietämättään Atomic (AMOS) Stealer -sovelluksen, joka raapui Apple Keychainiin tallennetut salasanat, selaimen todennusevästeet ja kryptolompakko .

Raportissa mainitun kyberturvallisuustutkijan G0njxan mukaan varastetut tiedot ladattiin operaation palvelimille, ja niissä kerrottiin huijausryhmän käyttämillä Telegram-kanavilla jaetuista vaarantuneista tileistä ja lompakoista.

Jos kryptolompakko löydettiin, salasanoja pakotettiin raa'alla tavalla, varat tyhjennettiin ja uhrin houkutteleva huijari palkittiin leikkaamalla varastettua omaisuutta.

Useita GrassCallin iteraatioita

Kyberturvallisuusyritys Recorded Future oli aiemmin yhdistänyt Crazy Evilin yli kymmeneen aktiiviseen sosiaalisen median huijaukseen ja huomautti, että ryhmä on erikoistunut kryptokäyttäjien kohdistamiseen räätälöityjen speaphishing-hyökkäysten avulla.

GrassCall-huijaus on jatkoa aiemmalle Gatherum-nimiselle järjestelmälle, joka toimi samalla tuotemerkillä ja logolla.

Poistosta huolimatta operaatiosta on jäänyt jälkiä. Tutkijat löysivät X-tilin (entinen Twitter) nimeltä VibeCall, joka käyttää samaa tuotemerkkiä kuin GrassCall ja Gatherum.

Vaikka tili luotiin kesäkuussa 2022, se tuli aktiiviseksi vasta helmikuun puolivälissä, mikä sai asiantuntijat uskomaan, että se on saatettu käyttää uudelleen huijaukseen.

Päinvastoin, Chain Seekerin online-läsnäolo on enimmäkseen kadonnut.

Sen verkkosivustolla oli kerran luettelo johtajista, kuten Isabel Olmedo (talousjohtaja) ja Adriano Cattaneo (henkilöstöpäällikkö), joilla molemmilla oli LinkedIn-profiilit, jotka on sittemmin pyyhitty.

Yhtiön toimitusjohtajaksi nimetty Artjoms Dzalbs -tili oli kuitenkin aktiivinen raportointihetkellä.

Vaikka pahat toimijat ovat saattaneet luopua järjestelmästä, asiantuntijat kehottivat kaikkia, jotka ovat saattaneet asentaa haitallisen sovelluksen, vaihtamaan salasanansa, salalauseensa ja todennustunnuksensa.

Salaushuijarit GitHubissa

Kuten INvezz aiemmin raportoi, kyberturvallisuusyritys Kaspersky varoitti äskettäin toisesta järjestelmästä, jossa uhkatoimijat luovat GitHubiin väärennettyjä tietovarastoja, jotka on täynnä haitallista koodia, joka saastuttaa käyttäjien laitteet latauksen yhteydessä.

GrassCallin tavoin näiden tietovarastojen haittaohjelmat ottivat käyttöön tietovarastoja, etäkäyttötroijalaisia ​​ja leikepöydän kaappaajia, kun ne oli ladattu.