Comment les escrocs ont utilisé l'application de réunion « GrassCall » pour vider les crypto wallets

Des escrocs en cryptomonnaies ont ciblé des professionnels sans méfiance avec de fausses offres d'emploi et une application de réunion malveillante baptisée GrassCall pour déployer un logiciel malveillant voleur de données conçu pour vider les wallets crypto-monnaie.

Selon un récent rapport de BleepingComputer, cette arnaque sophistiquée d'ingénierie sociale a été orchestrée par le groupe de cybercriminalité russe Crazy Evil.

Cependant, le système a maintenant été abandonné, les sites web et les comptes LinkedIn associés ayant été supprimés après que de nombreuses victimes se soient manifestées.

Pourtant, lorsqu'elle était active, l'arnaque a réussi à piéger des centaines de demandeurs d'emploi, certains signalant que leurs wallets crypto avaient été vidés après avoir téléchargé l'application malveillante GrassCall.

Comment GrassCall a-t-il vidé les wallets crypto?

Le stratagème tournait autour d'une fausse société de cryptomonnaies appelée Chain Seeker, qui publiait des offres d'emploi convaincantes sur LinkedIn et des sites d'emploi Web3 comme CryptoJobsList et WellFound.

Les candidats recevraient des courriels les dirigeant vers le « responsable marketing » de l'entreprise sur Telegram.

De là, les escrocs ont utilisé des techniques d'ingénierie sociale pour les inciter à télécharger GrassCall depuis un site web qu'ils contrôlaient, et qui a depuis été fermé.

L' application malveillante était disponible pour les systèmes Windows et Mac et, une fois installée, elle déployait des logiciels malveillants voleurs d'informations et des chevaux de Troie d'accès à distance (RAT) conçus pour collecter des données sensibles et vider les wallets crypto-monnaie.

Sous Windows, l'application a installé un RAT en plus de voleurs d'informations comme Rhadamanthys, permettant aux attaquants d'enregistrer les frappes au clavier, de maintenir la persistance et de déployer des attaques de phishing ciblées sur les portefeuilles matériels.

Pendant ce temps, les utilisateurs de Mac ont téléchargé sans le savoir Atomic (AMOS) Stealer, qui a récupéré les mots de passe stockés dans le trousseau Apple, les cookies d'authentification du navigateur et les fichiers de wallet crypto .

Selon G0njxa, un chercheur en cybersécurité cité dans le rapport, les données volées ont été téléchargées sur les serveurs de l'opération, les détails concernant les comptes et les portefeuilles compromis étant partagés sur les canaux Telegram utilisés par le groupe d'escrocs.

Si un wallet crypto était détecté, les mots de passe étaient forcés par force brute, les fonds étaient vidés, et l'escroc qui avait attiré la victime était récompensé par une part des actifs volés.

Plusieurs itérations de GrassCall

La société de cybersécurité Recorded Future avait précédemment lié Crazy Evil à plus de dix escroqueries actives sur les réseaux sociaux, notant que le groupe se spécialise dans le ciblage des utilisateurs de cryptomonnaies par le biais d'attaques de spearphishing personnalisées.

Il est à noter que l'arnaque GrassCall succède à un système antérieur appelé Gatherum, qui utilisait la même marque et le même logo.

Malgré le démantèlement, des traces de l'opération subsistent. Les enquêteurs ont trouvé un compte X (anciennement Twitter) nommé VibeCall, utilisant la même identité visuelle que GrassCall et Gatherum.

Bien que créé en juin 2022, le compte n'est devenu actif qu'à la mi-février, ce qui laisse les experts penser qu'il a peut-être été réutilisé pour cette arnaque.

Au contraire, la présence en ligne de Chain Seeker a presque complètement disparu.

Son site web mentionnait autrefois des cadres comme Isabel Olmedo (directrice financière) et Adriano Cattaneo (responsable des ressources humaines), dont les profils LinkedIn ont depuis été supprimés.

Cependant, un compte sous le nom d'Artjoms Dzalbs, se présentant comme le PDG de l'entreprise, restait actif au moment de la publication de cet article.

Bien que les acteurs malveillants aient peut-être abandonné le stratagème, les experts ont exhorté toute personne ayant installé l'application malveillante à changer ses mots de passe, ses phrases secrètes et ses jetons d'authentification.

Arnaqueurs de cryptomonnaies sur GitHub

Comme l'a précédemment rapporté INvezz, la société de cybersécurité Kaspersky a récemment mis en garde contre une nouvelle arnaque impliquant des acteurs malveillants créant de faux référentiels sur GitHub remplis de code malveillant qui infecte les appareils des utilisateurs lors du téléchargement.

Comme GrassCall, les logiciels malveillants contenus dans ces référentiels déployaient des voleurs d'informations, des chevaux de Troie d'accès à distance et des détourneurs de presse-papiers une fois téléchargés.