Hoe oplichters de vergaderapp 'GrassCall' gebruikten om crypto wallets te halen

Cryptoscammers richtten zich op nietsvermoedende professionals met valse vacatures en een kwaadaardige vergaderapplicatie genaamd GrassCall om malware te verspreiden die gegevens steelt en is ontworpen om cryptocurrency wallets leeg te halen.

Volgens een recent rapport van BleepingComputer werd de geavanceerde social engineering-fraude georganiseerd door de in Rusland gevestigde cybercriminele groep Crazy Evil.

Het plan is echter nu stopgezet, waarbij de bijbehorende websites en LinkedIn-accounts zijn verwijderd nadat talloze slachtoffers zich hebben gemeld.

Toch wist de oplichting, toen deze actief was, honderden werkzoekenden te misleiden. Sommigen meldden dat hun crypto wallets leeg werden gehaald nadat ze de kwaadaardige GrassCall-app hadden gedownload.

Hoe heeft GrassCall crypto wallets leeggehaald?

Het plan draaide om een nep-cryptobedrijf genaamd Chain Seeker, dat overtuigende vacatures plaatste op LinkedIn en Web3-vacaturebanken zoals CryptoJobsList en WellFound.

Sollicitanten zouden e-mails ontvangen met daarin de contactgegevens van de "marketingchef" van het bedrijf op Telegram.

Vanaf daar manipuleerden de oplichters hen via social engineering om GrassCall te downloaden van een website die onder hun controle stond en die inmiddels is verwijderd.

De kwaadaardige applicatie was beschikbaar voor zowel Windows- als Mac-systemen en installeerde na installatie malware die informatie stal en trojaanse paarden voor externe toegang (RAT's) die waren ontworpen om gevoelige gegevens te verzamelen en cryptocurrency wallets leeg te halen.

Op Windows installeerde de app naast infostealers zoals Rhadamanthys ook een RAT (Remote Access Trojan), waardoor aanvallers toetsaanslagen konden registreren, persistentie konden handhaven en gerichte phishingaanvallen op hardware wallets konden uitvoeren.

Ondertussen downloaden Mac-gebruikers onbewust Atomic (AMOS) Stealer, die wachtwoorden uit Apple Keychain, browser-authenticatiecookies en crypto wallet haalt.

Volgens G0njxa, een cybersecurity-onderzoeker die in het rapport wordt geciteerd, werden de gestolen gegevens geüpload naar de servers van de operatie, waarbij details over gecompromitteerde accounts en wallets werden gedeeld in Telegram-kanalen die door de oplichtingsgroep werden gebruikt.

Als een crypto wallet werd gedetecteerd, werden wachtwoorden met brute force gekraakt, werden fondsen leeggehaald en kreeg de oplichter die het slachtoffer had gelokt een deel van de gestolen activa als beloning.

Meerdere iteraties van GrassCall

Cybersecuritybedrijf Recorded Future had Crazy Evil eerder al in verband gebracht met meer dan tien actieve social media-fraudes, en merkte op dat de groep zich specialiseert in het richten op cryptogebruikers via gerichte spearphishing-aanvallen.

Opvallend is dat de GrassCall-oplichting een opvolger is van een eerdere oplichtingspraktijk genaamd Gatherum, die onder dezelfde merknaam en met hetzelfde logo opereerde.

Ondanks de ontmanteling blijven er sporen van de operatie achter. Onderzoekers vonden een X-account (voorheen Twitter) met de naam VibeCall, dat dezelfde branding gebruikte als GrassCall en Gatherum.

Hoewel het account in juni 2022 werd aangemaakt, werd het pas midden februari actief, waardoor experts vermoeden dat het mogelijk voor de oplichting is hergebruikt.

Integendeel, de online aanwezigheid van Chain Seeker is grotendeels verdwenen.

Op de website stonden ooit namen van leidinggevenden als Isabel Olmedo (CFO) en Adriano Cattaneo (HR-manager), die beiden LinkedIn-profielen hadden die inmiddels zijn verwijderd.

Een account onder de naam Artjoms Dzalbs, die zich identificeerde als de CEO van het bedrijf, bleef echter actief ten tijde van de berichtgeving.

Hoewel de kwaadwillenden het plan mogelijk hebben opgegeven, drongen de experts er bij iedereen die de kwaadaardige applicatie mogelijk heeft geïnstalleerd op aan om hun wachtwoorden, wachtzinnen en authenticatietokens te wijzigen.

Cryptoscammers op GitHub

Zoals eerder gemeld door INvezz, waarschuwde cybersecuritybedrijf Kaspersky onlangs voor een nieuwe methode waarbij kwaadwillenden nep-repositories op GitHub aanmaken, gevuld met schadelijke code die de apparaten van gebruikers infecteert bij het downloaden.

Net als GrassCall installeerde de malware in deze repositories na het downloaden informatie-stelende programma's, trojaanse paarden voor externe toegang en klembordkapingssoftware.