Cum au folosit escrocii aplicația de întâlnire „GrassCall” pentru a epuiza portofelele cripto

Escrocii criptografici au vizat profesioniști nebănuiți cu oferte de locuri de muncă false și o aplicație de întâlnire rău intenționată numită GrassCall pentru a implementa programe malware de furt de date concepute pentru a epuiza portofelele criptomonede.

Potrivit unui raport recent de la BleepingComputer, înșelătoria sofisticată de inginerie socială a fost orchestrată de grupul de criminalitate cibernetică Crazy Evil din Rusia.

Cu toate acestea, schema a fost abandonată acum, site-urile web asociate și conturile LinkedIn au fost eliminate după ce numeroase victime au apărut.

Cu toate acestea, atunci când este activă, înșelătoria a reușit să păcălească sute de solicitanți de locuri de muncă, unii raportând că portofelele lor cripto au fost epuizate după descărcarea aplicației rău intenționate GrassCall.

Cum a scurs GrassCall portofelele cripto?

Schema s-a învârtit în jurul unei firme cripto false numite Chain Seeker, care a creat liste de locuri de muncă convingătoare pe LinkedIn și Web3 forumuri de locuri de muncă precum CryptoJobsList și WellFound.

Solicitanții vor primi e-mailuri care îi direcționau către „șeful de marketing” al companiei pe Telegram.

De acolo, escrocii i-au proiectat prin inginerie socială pentru a descărca GrassCall de pe un site web aflat sub controlul lor, care acum a fost eliminat.

Aplicația rău intenționată a fost disponibilă atât pentru sistemele Windows, cât și pentru Mac și, odată instalată, a implementat malware care fură informații și troieni de acces la distanță (RAT) concepute pentru a colecta date sensibile și a epuiza portofelele criptomonede.

Pe Windows, aplicația a instalat un RAT alături de furați de informații precum Rhadamanthys, permițând atacatorilor să înregistreze apăsările de la taste, să mențină persistența și să desfășoare atacuri de tip seed phishing care vizează portofelele dure.

Între timp, utilizatorii de Mac au descărcat fără să știe Atomic (AMOS) Stealer, care a răzuit parolele stocate în Apple Keychain, cookie-urile de autentificare a browserului și fișierele cripto portofel.

Potrivit G0njxa, un cercetător în securitate cibernetică citat în raport, datele furate au fost încărcate pe serverele operațiunii, cu detalii despre conturile compromise și portofelele partajate pe canalele Telegram utilizate de grupul de escrocherie.

Dacă era detectat un portofel cripto, parolele erau forțate, fondurile erau scurse, iar escrocul care a ademenit victima era recompensat cu o parte din bunurile furate.

Iterații multiple ale GrassCall

Firma de securitate cibernetică Recorded Future a legat anterior Crazy Evil de peste zece escrocherii active pe rețelele sociale, observând că grupul este specializat în țintirea utilizatorilor cripto prin atacuri de spearphishing personalizate.

În special, înșelătoria GrassCall este un succesor al unei scheme anterioare numită Gatherum, care funcționa sub aceeași marcă și logo.

În ciuda ridicării, au rămas urme ale operațiunii. Anchetatorii au găsit un cont X (fost Twitter) numit VibeCall, folosind același brand ca GrassCall și Gatherum.

Deși a fost creat în iunie 2022, contul a devenit activ abia la mijlocul lunii februarie, făcând experții să creadă că ar fi putut fi reutilizat pentru înșelătorie.

Dimpotrivă, prezența online a Chain Seeker a dispărut în mare parte.

Site-ul său web a enumerat odată directori precum Isabel Olmedo (CFO) și Adriano Cattaneo (manager de resurse umane), ambii având profiluri LinkedIn care au fost șterse de atunci.

Cu toate acestea, un cont sub numele Artjoms Dzalbs, identificandu-se drept CEO al companiei, a rămas activ la momentul raportării.

Deși este posibil ca actorii răi să fi abandonat schema, experții au îndemnat pe oricine care ar fi instalat aplicația rău intenționată să-și schimbe parolele, frazele de acces și jetoanele de autentificare.

Escroci criptografici pe GitHub

După cum a raportat anterior de INvezz, firma de securitate cibernetică Kaspersky a avertizat recent cu privire la o altă schemă care implică amenințări care creează depozite false pe GitHub pline cu cod rău intenționat care infectează dispozitivele utilizatorilor la descărcare.

La fel ca GrassCall, programele malware din aceste depozite au implementat furători de informații, troieni de acces la distanță și piratatori de clipboard odată descărcate.