Dolandırıcılar kripto cüzdanlarını boşaltmak için 'GrassCall' toplantı uygulamasını nasıl kullandılar?

Kripto para dolandırıcıları, kripto para cüzdanlarını boşaltmak için tasarlanmış veri çalan kötü amaçlı yazılımları dağıtmak amacıyla sahte iş teklifleri ve GrassCall adı verilen kötü amaçlı bir toplantı uygulamasıyla şüphelenmeyen profesyonelleri hedef aldı.

BleepingComputer'ın yakın zamanda yayınladığı bir rapora göre, bu karmaşık sosyal mühendislik dolandırıcılığı Rusya merkezli siber suç grubu Crazy Evil tarafından düzenlendi.

Ancak çok sayıda mağdurun ortaya çıkmasının ardından bu plandan vazgeçildi ve ilgili web siteleri ve LinkedIn hesapları kapatıldı.

Ancak dolandırıcılık aktif hale geldiğinde yüzlerce iş arayan kişiyi kandırmayı başardı; bazıları kötü amaçlı GrassCall uygulamasını indirdikten sonra kripto para cüzdanlarının boşaltıldığını bildirdi.

GrassCall kripto cüzdanlarını nasıl boşalttı?

Plan, LinkedIn ve CryptoJobsList ve WellFound gibi Web3 iş panolarında ikna edici iş ilanları oluşturan Chain Seeker adlı sahte bir kripto firması etrafında dönüyordu.

Başvuranlar, Telegram'daki şirketin "pazarlama şefi"ne yönlendirilen e-postalar alacak.

Dolandırıcılar daha sonra sosyal mühendislik yoluyla, kontrolleri altındaki bir web sitesinden GrassCall uygulamasını indirmeyi başardılar; ancak bu site artık yayından kaldırıldı.

Kötü amaçlı uygulama hem Windows hem de Mac sistemleri için mevcuttu ve yüklendikten sonra hassas verileri toplamak ve kripto para cüzdanlarını boşaltmak için tasarlanmış bilgi çalan kötü amaçlı yazılımlar ve uzaktan erişim trojanları (RAT'ler) dağıtıyordu.

Windows'ta uygulama, Rhadamanthys gibi bilgi hırsızlarının yanı sıra bir RAT yükleyerek saldırganların tuş vuruşlarını kaydetmesine, kalıcılığı korumasına ve sabit cüzdanları hedef alan kimlik avı saldırıları düzenlemesine olanak tanıyor.

Bu arada Mac kullanıcıları, Apple Keychain'de depolanan şifreleri, tarayıcı kimlik doğrulama çerezlerini ve kripto cüzdan dosyalarını toplayan Atomic (AMOS) Stealer'ı bilmeden indirdiler.

Raporda adı geçen siber güvenlik araştırmacısı G0njxa'nın aktardığına göre, çalınan veriler operasyonun sunucularına yüklendi ve dolandırıcı grubun kullandığı Telegram kanallarında ele geçirilen hesaplar ve cüzdanlara ilişkin bilgiler paylaşıldı.

Bir kripto cüzdanı tespit edildiğinde, şifreler kaba kuvvetle kırılıyor, fonlar boşaltılıyor ve kurbanı kandıran dolandırıcı, çalınan varlıkların bir kısmıyla ödüllendiriliyordu.

GrassCall'un birden fazla yinelemesi

Siber güvenlik firması Recorded Future, daha önce Crazy Evil'ı ondan fazla aktif sosyal medya dolandırıcılığıyla ilişkilendirmiş ve grubun özel spearphishing saldırılarıyla kripto kullanıcılarını hedef alma konusunda uzmanlaştığını belirtmişti.

Dikkat çekici olan, GrassCall dolandırıcılığının, aynı marka ve logo altında faaliyet gösteren Gatherum adlı daha önceki bir dolandırıcılığın devamı niteliğinde olmasıdır.

Kapatılmasına rağmen operasyonun izleri kaldı. Araştırmacılar, GrassCall ve Gatherum ile aynı markayı kullanan VibeCall adlı bir X (eski Twitter) hesabı buldular.

Haziran 2022'de oluşturulmuş olmasına rağmen, hesap ancak şubat ortasında aktif hale geldi; bu da uzmanların hesabın dolandırıcılık için yeniden kullanılmış olabileceğini düşünmesine yol açıyor.

Tam tersine, Chain Seeker'ın çevrimiçi varlığı büyük ölçüde ortadan kalktı.

Şirketin internet sitesinde daha önce Isabel Olmedo (CFO) ve Adriano Cattaneo (İK müdürü) gibi yöneticiler yer alıyordu ve her ikisinin de LinkedIn profilleri daha sonra silindi.

Ancak şirketin CEO'su olarak tanımlanan Artjoms Dzalbs isimli bir hesap, raporlama sırasında aktifti.

Kötü niyetli kişiler plandan vazgeçmiş olsa da uzmanlar, kötü amaçlı uygulamayı yüklemiş olabilecek kişilerin parolalarını, parola ifadelerini ve kimlik doğrulama belirteçlerini değiştirmeleri konusunda uyardı.

GitHub'daki kripto dolandırıcıları

Daha önce INvezz'in bildirdiği gibi, siber güvenlik firması Kaspersky, tehdit aktörlerinin GitHub'da kötü amaçlı kodlarla dolu sahte depolar oluşturarak kullanıcıların cihazlarına indirdikleri anda bulaşan başka bir dolandırıcılık konusunda uyardı.

GrassCall gibi, bu depolarındaki kötü amaçlı yazılımlar indirildikten sonra bilgi hırsızları, uzaktan erişim truva atları ve pano korsanları dağıtıyordu.