Hvordan svindlere brukte møteappen «GrassCall» for å tømme crypto wallets

Kryptosvindlere siktet mot intetanende fagfolk med falske jobbtilbud og en ondsinnet møteapplikasjon kalt GrassCall for å distribuere skadelig programvare som stjeler data designet for å tømme kryptovaluta lommebøker.

I følge en fersk rapport fra BleepingComputer ble den sofistikerte svindelen med sosial ingeniørkunst orkestrert av den russisk-baserte nettkriminalitetsgruppen Crazy Evil.

Ordningen er imidlertid nå forlatt, med tilhørende nettsteder og LinkedIn-kontoer tatt ned etter at flere ofre meldte seg.

Likevel, når den var aktiv, klarte svindelen å lure hundrevis av jobbsøkere, og noen rapporterte at krypto lommebøker deres ble tappet etter å ha lastet ned den ondsinnede GrassCall-appen.

Hvordan tappet GrassCall krypto lommebøker?

Ordningen dreide seg om et falskt kryptofirma kalt Chain Seeker, som satte opp overbevisende stillingsannonser på LinkedIn og Web3 jobbtavler som CryptoJobsList og WellFound.

Søkere ville motta e-poster som dirigerte dem til selskapets "markedsføringssjef" på Telegram.

Derfra utviklet svindlerne dem sosialt til å laste ned GrassCall fra et nettsted under deres kontroll, som nå er fjernet.

Den ondsinnede applikasjonen var tilgjengelig for både Windows- og Mac-systemer, og når den først var installert, distribuerte den informasjonsstjeling av skadelig programvare og fjerntilgangstrojanere (RAT-er) designet for å høste sensitive data og tømme kryptovaluta lommebøker.

På Windows installerte appen en RAT sammen med infostealere som Rhadamanthys, slik at angripere kunne logge tastetrykk, opprettholde utholdenhet og distribuere seed phishing-angrep rettet mot harde lommebøker.

I mellomtiden lastet Mac-brukere ubevisst ned Atomic (AMOS) Stealer, som skrapte passord lagret i Apple Keychain, nettleserautentiseringskapsler og krypto lommebok .

Ifølge G0njxa, en cybersikkerhetsforsker sitert i rapporten, ble de stjålne dataene lastet opp til operasjonens servere, med detaljer om kompromitterte kontoer og lommebøker delt i Telegram-kanaler brukt av svindelgruppen.

Hvis en krypto lommebok ble oppdaget, ble passord brutalt tvunget, midler ble tappet, og svindleren som lokket offeret ble belønnet med et kutt av de stjålne eiendelene.

Flere iterasjoner av GrassCall

Cybersikkerhetsfirmaet Recorded Future hadde tidligere knyttet Crazy Evil til over ti aktive sosiale medier-svindel, og bemerket at gruppen spesialiserer seg på å målrette kryptobrukere gjennom tilpassede spearphishing-angrep.

Spesielt er GrassCall-svindel en etterfølger til en tidligere ordning kalt Gatherum, som opererte under samme merkevare og logo.

Til tross for fjerningen, er det fortsatt spor etter operasjonen. Etterforskere fant en X-konto (tidligere Twitter) kalt VibeCall, med samme merkevarebygging som GrassCall og Gatherum.

Selv om kontoen ble opprettet i juni 2022, ble den aktiv først i midten av februar, noe som fikk eksperter til å tro at den kan ha blitt brukt for svindelen.

Tvert imot har Chain Seekers online tilstedeværelse stort sett forsvunnet.

Nettstedet oppførte en gang ledere som Isabel Olmedo (CFO) og Adriano Cattaneo (HR-sjef), som begge hadde LinkedIn-profiler som siden har blitt slettet.

Imidlertid forble en konto under navnet Artjoms Dzalbs, som identifiserer seg som selskapets administrerende direktør, aktiv på rapporteringstidspunktet.

Selv om de dårlige skuespillerne kan ha forlatt opplegget, oppfordret ekspertene alle som kan ha installert den ondsinnede applikasjonen til å endre passord, passordfraser og autentiseringstokener.

Kryptosvindlere på GitHub

Som tidligere rapportert av INvezz, advarte cybersikkerhetsfirmaet Kaspersky nylig om et annet opplegg som involverer trusselaktører som lager falske depoter på GitHub fylt med ondsinnet kode som infiserer brukernes enheter ved nedlasting.

I likhet med GrassCall, distribuerte skadelig programvare i disse lagrene info-tyvere, fjerntilgangstrojanere og utklippstavlekaprere en gang lastet ned.