Jak oszuści wykorzystali aplikację do spotkań „GrassCall” do opróżniania crypto wallets

Kryptowalutowi oszuści atakowali niczego niepodejrzewających profesjonalistów fałszywymi ofertami pracy i złośliwą aplikacją do spotkań o nazwie GrassCall, aby rozpowszechniać złośliwe oprogramowanie kradnące dane, zaprojektowane do opróżniania portfele kryptowalut.

Według niedawnego raportu BleepingComputer, za wyrafinowanym oszustwem socjotechnicznym stała rosyjska grupa cyberprzestępcza Crazy Evil.

Program został jednak zaniechany, a powiązane strony internetowe i konta na LinkedIn zostały usunięte po tym, jak zgłosiło się wielu poszkodowanych.

Mimo to, w czasie swojej aktywności oszustwo zdołało oszukać setki osób poszukujących pracy, a niektóre z nich zgłosiły, że po pobraniu złośliwej aplikacji GrassCall ich portfele kryptowalut zostały opróżnione.

Jak GrassCall okradał portfele do kryptowalut?

Schemat opierał się na fałszywej firmie kryptowalutowej o nazwie Chain Seeker, która zamieszczała przekonujące oferty pracy na LinkedIn i portalach z ofertami pracy w branży Web3, takich jak CryptoJobsList i WellFound.

Kandydaci otrzymywaliby e-maile z instrukcjami dotyczącymi kontaktu z „szefem marketingu” firmy na Telegramie.

Następnie oszuści, wykorzystując techniki inżynierii społecznej, nakłonili ich do pobrania aplikacji GrassCall ze strony internetowej, którą kontrolowali, a która obecnie została zablokowana.

Złośliwa aplikacja była dostępna zarówno dla systemów Windows, jak i Mac, a po zainstalowaniu wdrażała złośliwe oprogramowanie kradnące informacje i trojany zdalnego dostępu (RAT), zaprojektowane do zbierania poufnych danych i opróżniania portfele do kryptowalut.

W systemie Windows aplikacja instalowała trojana zdalnego dostępu (RAT) wraz z programami kradnącymi dane, takimi jak Rhadamanthys, umożliwiając atakującym rejestrowanie naciśnięć klawiszy, utrzymywanie dostępu i przeprowadzanie ataków phishingowych na portfele sprzętowe.

Tymczasem użytkownicy komputerów Mac nieświadomie pobrali program Atomic (AMOS) Stealer, który wykradł hasła zapisane w Apple Keychain, pliki cookie uwierzytelniania przeglądarki i pliki portfel kryptowalut .

Według G0njxa, badacza cyberbezpieczeństwa cytowanego w raporcie, skradzione dane zostały przesłane na serwery operacji, a szczegóły dotyczące naruszonych kont i portfeli były udostępniane na kanałach Telegrama wykorzystywanych przez grupę oszustów.

Jeśli wykryto portfel do kryptowalut , hasła były łamane metodą brute force, środki wyprowadzane, a oszust, który zwabił ofiarę, otrzymywał część skradzionych aktywów.

Wielokrotne iteracje GrassCall

Firma zajmująca się cyberbezpieczeństwem Recorded Future wcześniej powiązała grupę Crazy Evil z ponad dziesięcioma aktywnymi oszustwami w mediach społecznościowych, zauważając, że specjalizuje się ona w atakach typu spear phishing skierowanych na użytkowników kryptowalut.

Warto zauważyć, że oszustwo GrassCall jest następcą wcześniejszego schematu o nazwie Gatherum, który działał pod tą samą marką i logo.

Pomimo likwidacji, ślady operacji pozostały. Śledczy znaleźli konto na X (dawniej Twitter) o nazwie VibeCall, używające tego samego brandingu co GrassCall i Gatherum.

Chociaż konto zostało utworzone w czerwcu 2022 r., aktywne stało się dopiero w połowie lutego, co skłania ekspertów do przypuszczenia, że mogło zostać wykorzystane do oszustwa.

Wręcz przeciwnie, obecność Chain Seeker w internecie w dużej mierze zniknęła.

Na stronie internetowej firmy figurowały kiedyś takie osoby jak Isabel Olmedo (dyrektor finansowa) i Adriano Cattaneo (menedżer ds. kadr), których profile na LinkedIn zostały od tego czasu usunięte.

Jednak w momencie publikacji raportu aktywne było konto o nazwie Artjoms Dzalbs, którego właściciel przedstawiał się jako dyrektor generalny firmy.

Chociaż sprawcy mogli porzucić ten plan, eksperci wezwali wszystkich, którzy mogli zainstalować złośliwą aplikację, do zmiany haseł, fraz hasłowych i tokenów uwierzytelniających.

Oszuści kryptowalutowi na GitHubie

Jak wcześniej informował INvezz, firma Kaspersky zajmująca się cyberbezpieczeństwem niedawno ostrzegła przed kolejnym schematem, w którym cyberprzestępcy tworzą fałszywe repozytoria na GitHubie wypełnione złośliwym kodem, który infekuje urządzenia użytkowników po pobraniu.

Podobnie jak GrassCall, złośliwe oprogramowanie w tych repozytoriach po pobraniu instalowało programy kradnące informacje, trojany zdalnego dostępu i programy przechwytujące zawartość schowka.