Como golpistas usaram o aplicativo de reuniões 'GrassCall' para esvaziar crypto wallets

Golpistas de criptomoedas atacaram profissionais desavisados com ofertas de emprego falsas e um aplicativo de reunião malicioso chamado GrassCall para implantar malware roubador de dados projetado para esvaziar wallets para criptomoedas.

De acordo com um relatório recente do BleepingComputer, o sofisticado golpe de engenharia social foi orquestrado pelo grupo de cibercrime russo Crazy Evil.

No entanto, o esquema foi abandonado, com os sites e contas do LinkedIn associados desativados após inúmeras vítimas se manifestarem.

Ainda assim, quando ativo, o golpe conseguiu enganar centenas de candidatos a emprego, com alguns relatando que suas wallets para criptomoedas foram esvaziadas após baixar o aplicativo malicioso GrassCall.

Como o GrassCall drenou wallets criptomoedas?

O esquema girava em torno de uma empresa de criptomoedas falsa chamada Chain Seeker, que publicava anúncios de emprego convincentes no LinkedIn e em sites de empregos Web3 como CryptoJobsList e WellFound.

Os candidatos receberiam e-mails direcionando-os ao “chefe de marketing” da empresa no Telegram.

A partir daí, os golpistas usaram engenharia social para convencê-los a baixar o GrassCall de um site sob seu controle, que agora foi desativado.

O aplicativo malicioso estava disponível para sistemas Windows e Mac e, uma vez instalado, implantava malware roubador de informações e trojans de acesso remoto (RATs) projetados para coletar dados confidenciais e esvaziar wallets criptomoedas.

No Windows, o aplicativo instalou um RAT juntamente com ladrões de informações como o Rhadamanthys, permitindo que os atacantes registrassem as teclas digitadas, mantivessem a persistência e lançassem ataques de phishing direcionados a carteiras físicas.

Enquanto isso, usuários de Mac baixaram sem saber o Atomic (AMOS) Stealer, que extraiu senhas armazenadas no Apple Keychain, cookies de autenticação do navegador e arquivos de wallet criptomoedas .

De acordo com G0njxa, um pesquisador de cibersegurança citado no relatório, os dados roubados foram carregados nos servidores da operação, com detalhes sobre contas e carteiras comprometidas compartilhados em canais do Telegram usados pelo grupo de golpistas.

Se uma wallet para criptomoedas fosse detectada, as senhas eram forçadas por meio de ataque de força bruta, os fundos eram drenados e o golpista que atraiu a vítima era recompensado com uma parte dos ativos roubados.

Múltiplas iterações do GrassCall

A empresa de cibersegurança Recorded Future havia anteriormente ligado o Crazy Evil a mais de dez golpes ativos nas redes sociais, observando que o grupo se especializa em atacar usuários de criptomoedas por meio de ataques de spearphishing personalizados.

Notavelmente, o golpe GrassCall é um sucessor de um esquema anterior chamado Gatherum, que operava sob a mesma marca e logotipo.

Apesar da desarticulação, vestígios da operação permanecem. Investigadores encontraram uma conta no X (antigo Twitter) chamada VibeCall, usando a mesma marca da GrassCall e da Gatherum.

Embora criado em junho de 2022, o perfil só ficou ativo em meados de fevereiro, levando especialistas a acreditar que pode ter sido reaproveitado para o golpe.

Pelo contrário, a presença online do Chain Seeker praticamente desapareceu.

Seu site já listou executivos como Isabel Olmedo (CFO) e Adriano Cattaneo (gerente de RH), ambos com perfis no LinkedIn que foram posteriormente apagados.

No entanto, uma conta com o nome Artjoms Dzalbs, identificando-se como CEO da empresa, permanecia ativa no momento da publicação da reportagem.

Embora os criminosos possam ter abandonado o esquema, os especialistas aconselharam qualquer pessoa que possa ter instalado o aplicativo malicioso a alterar suas senhas, frases-senha e tokens de autenticação.

Golpistas de criptomoedas no GitHub

Como relatado anteriormente pela INvezz, a empresa de cibersegurança Kaspersky alertou recentemente sobre outro esquema que envolve agentes maliciosos criando repositórios falsos no GitHub repletos de código malicioso que infecta os dispositivos dos usuários após o download.

Assim como o GrassCall, o malware nesses repositórios implantava ladrões de informações, trojans de acesso remoto e sequestradores de área de transferência após o download.