Come i truffatori hanno utilizzato l'app di incontri 'GrassCall' per svuotare i crypto wallets

I truffatori di criptovalute hanno preso di mira professionisti ignari con false offerte di lavoro e un'applicazione di riunione dannosa chiamata GrassCall per distribuire malware ruba-dati progettato per svuotare i wallet per criptovalute.

Secondo un recente rapporto di BleepingComputer, la sofisticata truffa di ingegneria sociale è stata orchestrata dal gruppo di cybercriminali Crazy Evil, con sede in Russia.

Tuttavia, il piano è stato ora abbandonato, con la chiusura dei siti web e degli account LinkedIn associati dopo che numerose vittime si sono fatte avanti.

Eppure, quando era attivo, il raggiro è riuscito a truffare centinaia di persone in cerca di lavoro, con alcuni che hanno segnalato lo svuotamento dei propri wallet per crypto dopo aver scaricato l'applicazione dannosa GrassCall.

Come ha fatto GrassCall a svuotare i wallet crypto?

Il piano ruotava attorno a una finta società di criptovalute chiamata Chain Seeker, che pubblicava annunci di lavoro convincenti su LinkedIn e su bacheche di lavoro Web3 come CryptoJobsList e WellFound.

I candidati riceverebbero email che li indirizzerebbero al "responsabile marketing" dell'azienda su Telegram.

Da lì, i truffatori, con tecniche di ingegneria sociale, li hanno indotti a scaricare GrassCall da un sito web sotto il loro controllo, che ora è stato chiuso.

L' applicazione dannosa era disponibile sia per sistemi Windows che Mac e, una volta installata, distribuiva malware per il furto di informazioni e trojan di accesso remoto (RAT) progettati per raccogliere dati sensibili e svuotare i wallet criptovalute.

Su Windows, l'applicazione ha installato un RAT insieme a infostealer come Rhadamanthys, consentendo agli aggressori di registrare le sequenze di tasti, mantenere la persistenza e lanciare attacchi di phishing mirati ai portafogli hardware.

Nel frattempo, gli utenti Mac hanno inconsapevolmente scaricato Atomic (AMOS) Stealer, che ha prelevato le password memorizzate nel portachiavi Apple, i cookie di autenticazione del browser e i file wallet per crypto .

Secondo G0njxa, un ricercatore di sicurezza informatica citato nel rapporto, i dati rubati sono stati caricati sui server dell'operazione, con dettagli su account e portafogli compromessi condivisi nei canali Telegram utilizzati dal gruppo di truffatori.

Se veniva rilevato un wallet per crypto , le password venivano forzate con attacchi di forza bruta, i fondi venivano prosciugati e il truffatore che aveva attirato la vittima veniva ricompensato con una parte dei beni rubati.

Iterazioni multiple di GrassCall

La società di sicurezza informatica Recorded Future aveva precedentemente collegato Crazy Evil a oltre dieci truffe attive sui social media, osservando che il gruppo è specializzato nel prendere di mira gli utenti di criptovalute attraverso attacchi di spear phishing personalizzati.

È importante notare che la truffa GrassCall è la successiva evoluzione di un precedente schema chiamato Gatherum, che operava con lo stesso marchio e logo.

Nonostante lo smantellamento, rimangono tracce dell'operazione. Gli investigatori hanno trovato un account X (ex Twitter) chiamato VibeCall, che utilizzava lo stesso marchio di GrassCall e Gatherum.

Sebbene creato nel giugno 2022, l'account è diventato attivo solo a metà febbraio, portando gli esperti a ritenere che possa essere stato riutilizzato per la truffa.

Al contrario, la presenza online di Chain Seeker è quasi del tutto scomparsa.

Il suo sito web un tempo elencava dirigenti come Isabel Olmedo (CFO) e Adriano Cattaneo (responsabile delle risorse umane), entrambi con profili LinkedIn che sono stati successivamente cancellati.

Tuttavia, un account a nome Artjoms Dzalbs, che si identificava come CEO dell'azienda, risultava attivo al momento della pubblicazione della notizia.

Sebbene i malintenzionati potrebbero aver abbandonato il piano, gli esperti hanno esortato chiunque abbia installato l'applicazione dannosa a cambiare password, frasi di accesso e token di autenticazione.

Truffatori di criptovalute su GitHub

Come precedentemente riportato da INvezz, la società di sicurezza informatica Kaspersky ha recentemente messo in guardia su un altro schema che coinvolge attori malevoli che creano repository falsi su GitHub pieni di codice dannoso che infetta i dispositivi degli utenti al momento del download.

Come GrassCall, il malware presente in questi repository, una volta scaricato, installava programmi per il furto di informazioni, trojan di accesso remoto e programmi per il dirottamento degli appunti.