Cara penipu menggunakan apl mesyuarat 'GrassCall' untuk menguras dompet crypto

Penipu Crypto menyasarkan profesional yang tidak curiga dengan tawaran kerja palsu dan aplikasi mesyuarat berniat jahat yang digelar GrassCall untuk menggunakan perisian hasad mencuri data yang direka untuk menguras dompet mata wang kripto.

Menurut laporan terbaru dari BleepingComputer, penipuan kejuruteraan sosial yang canggih itu didalangi oleh kumpulan jenayah siber Crazy Evil yang berpangkalan di Rusia.

Walau bagaimanapun, skim itu kini telah ditinggalkan, dengan laman web yang berkaitan dan akaun LinkedIn dikeluarkan selepas banyak mangsa tampil ke hadapan.

Namun, apabila aktif, penipuan itu berjaya menipu ratusan pencari kerja, dengan beberapa melaporkan bahawa dompet crypto mereka telah kehabisan selepas memuat turun aplikasi GrassCall yang berniat jahat.

Bagaimanakah GrassCall mengalirkan dompet crypto?

Skim ini berkisar pada firma crypto palsu yang dipanggil Chain Seeker, yang menyediakan penyenaraian pekerjaan yang meyakinkan di papan kerja LinkedIn dan Web3 seperti CryptoJobsList dan WellFound.

Pemohon akan menerima e-mel yang mengarahkan mereka kepada "ketua pemasaran" syarikat di Telegram.

Dari situ, penipu itu melatih mereka untuk memuat turun GrassCall daripada tapak web di bawah kawalan mereka, yang kini telah dialih keluar.

Aplikasi berniat jahat itu tersedia untuk kedua-dua sistem Windows dan Mac dan setelah dipasang, ia menggunakan perisian hasad mencuri maklumat dan trojan akses jauh (RAT) yang direka untuk menuai data sensitif dan mengalirkan dompet mata wang kripto.

Pada Windows, apl itu memasang RAT bersama pencuri maklumat seperti Rhadamanthys, membenarkan penyerang merekod ketukan kekunci, mengekalkan kegigihan dan menggunakan serangan pancingan data benih yang menyasarkan dompet keras.

Sementara itu, pengguna Mac tanpa disedari memuat turun Atomic (AMOS) Stealer, yang mengikis kata laluan yang disimpan dalam Apple Keychain, kuki pengesahan penyemak imbas dan fail dompet crypto.

Menurut G0njxa, penyelidik keselamatan siber yang dipetik dalam laporan itu, data yang dicuri telah dimuat naik ke pelayan operasi, dengan butiran mengenai akaun dan dompet yang terjejas yang dikongsi dalam saluran Telegram yang digunakan oleh kumpulan penipuan.

Jika dompet kripto dikesan, kata laluan telah dipaksa secara kasar, dana dihabiskan, dan penipu yang memikat mangsa diberi ganjaran dengan potongan aset yang dicuri.

Berbilang lelaran GrassCall

Firma Cybersecurity Recorded Future sebelum ini telah mengaitkan Crazy Evil dengan lebih sepuluh penipuan media sosial yang aktif, dengan menyatakan bahawa kumpulan itu pakar dalam menyasarkan pengguna crypto melalui serangan spearphishing tersuai.

Terutama, penipuan GrassCall adalah pengganti kepada skim terdahulu yang dipanggil Gatherum, yang beroperasi di bawah penjenamaan dan logo yang sama.

Walaupun penyingkiran, kesan operasi kekal. Penyiasat menemui akaun X (dahulunya Twitter) bernama VibeCall, menggunakan penjenamaan yang sama seperti GrassCall dan Gatherum.

Walaupun dibuat pada Jun 2022, akaun itu hanya mula aktif pada pertengahan Februari, menyebabkan pakar percaya ia mungkin telah digunakan semula untuk penipuan.

Sebaliknya, kehadiran dalam talian Chain Seeker kebanyakannya telah lenyap.

Laman webnya pernah menyenaraikan eksekutif seperti Isabel Olmedo (CFO) dan Adriano Cattaneo (pengurus HR), yang kedua-duanya mempunyai profil LinkedIn yang telah dipadamkan.

Walau bagaimanapun, akaun di bawah nama Artjoms Dzalbs, yang dikenal pasti sebagai Ketua Pegawai Eksekutif syarikat, kekal aktif pada masa laporan.

Walaupun pelakon jahat mungkin telah meninggalkan skim itu, pakar menggesa sesiapa sahaja yang mungkin telah memasang aplikasi berniat jahat untuk menukar kata laluan, frasa laluan dan token pengesahan mereka.

Penipu Crypto di GitHub

Seperti yang dilaporkan oleh INvezz sebelum ini, firma keselamatan siber Kaspersky baru-baru ini memberi amaran tentang skim lain yang melibatkan pelaku ancaman mencipta repositori palsu pada GitHub yang dipenuhi dengan kod hasad yang menjangkiti peranti pengguna semasa dimuat turun.

Seperti GrassCall, perisian hasad dalam repositori ini menggunakan pencuri maklumat, trojan akses jauh dan perampas papan keratan setelah dimuat turun.