Hur bedragare använde mötesappen "GrassCall" för att tömma crypto wallets

Kryptobedragare riktade sig mot intet ont anande proffs med falska jobberbjudanden och ett skadligt mötesprogram kallat GrassCall för att distribuera skadlig programvara som stjäl data som är utformad för att tömma kryptovaluta plånböcker.

Enligt en färsk rapport från BleepingComputer orkestrerades den sofistikerade social ingenjörskonst av den Rysslandsbaserade cyberbrottsgruppen Crazy Evil.

Men systemet har nu övergetts, med tillhörande webbplatser och LinkedIn-konton har tagits ner efter att många offer trätt fram.

Men när den var aktiv lyckades bluffen lura hundratals arbetssökande, med några rapporterade att deras kryptoplånböcker tömdes efter att ha laddat ner den skadliga GrassCall-appen.

Hur tömde GrassCall kryptoplånböcker?

Systemet kretsade kring ett falskt kryptoföretag som heter Chain Seeker, som satte upp övertygande jobbannonser på LinkedIn och Web3 jobbbrädor som CryptoJobsList och WellFound.

Sökande skulle få e-postmeddelanden som hänvisade dem till företagets "marknadschef" på Telegram.

Därifrån socialiserade bedragarna dem att ladda ner GrassCall från en webbplats under deras kontroll, som nu har tagits ner.

Den skadliga applikationen var tillgänglig för både Windows- och Mac-system och när den väl installerats distribuerade den informationsstöldande skadlig programvara och fjärråtkomsttrojaner (RAT) utformade för att samla in känslig data och tömma kryptovaluta plånböcker.

På Windows installerade appen en RAT tillsammans med infostealers som Rhadamanthys, vilket gjorde att angripare kunde logga tangenttryckningar, upprätthålla uthållighet och distribuera seed phishing-attacker riktade mot hårda plånböcker.

Samtidigt laddade Mac-användare omedvetet ned Atomic (AMOS) Stealer, som skrapade bort lösenord lagrade i Apple Keychain, webbläsarautentiseringskakor och kryptoplånbok .

Enligt G0njxa, en cybersäkerhetsforskare som citeras i rapporten, laddades den stulna informationen upp till operationens servrar, med detaljer om inträngda konton och plånböcker som delas i Telegram-kanaler som används av bluffgruppen.

Om en kryptoplånbok upptäcktes, tvingades lösenorden brutalt, pengar dränerades och bedragaren som lockade offret belönades med en del av de stulna tillgångarna.

Flera iterationer av GrassCall

Cybersäkerhetsföretaget Recorded Future hade tidigare kopplat Crazy Evil till över tio aktiva sociala medier-bedrägerier, och noterade att gruppen är specialiserad på att rikta in sig på kryptoanvändare genom anpassade spearphishing-attacker.

Noterbart är GrassCall-bluffen en efterföljare till ett tidigare system som heter Gatherum, som fungerade under samma varumärke och logotyp.

Trots nedtagningen finns spår efter operationen kvar. Utredarna hittade ett X (tidigare Twitter)-konto vid namn VibeCall, med samma varumärke som GrassCall och Gatherum.

Även om kontot skapades i juni 2022 blev det aktivt först i mitten av februari, vilket fick experter att tro att det kan ha återanvänts för bluffen.

Tvärtom har Chain Seekers onlinenärvaro för det mesta försvunnit.

Dess webbplats listade en gång chefer som Isabel Olmedo (CFO) och Adriano Cattaneo (HR-chef), som båda hade LinkedIn-profiler som sedan dess har raderats.

Ett konto under namnet Artjoms Dzalbs, som identifierades som företagets VD, förblev dock aktivt vid tidpunkten för rapporteringen.

Även om de dåliga aktörerna kan ha övergett schemat, uppmanade experterna alla som kan ha installerat det skadliga programmet att ändra sina lösenord, lösenfraser och autentiseringstokens.

Kryptobedragare på GitHub

Som tidigare rapporterats av INvezz, varnade cybersäkerhetsföretaget Kaspersky nyligen för ett annat system som innebär att hotaktörer skapar falska arkiv på GitHub fyllda med skadlig kod som infekterar användarnas enheter vid nedladdning.

Liksom GrassCall distribuerade den skadliga programvaran i dessa förråd informationsstöldare, fjärråtkomsttrojaner och klippbordskapare när de laddats ner.