قام قراصنة روس بنشر برمجية GrassCall الخبيثة لسحب الأموال من محافظ العملات المشفرة عبر إعلانات وظائف وهمية

في إطار حملة هندسة اجتماعية، يُفيد تقرير بأن قراصنة يرسلون عروض عمل وهمية إلى الباحثين عن عمل في مجال الويب 3 بنوايا خبيثة. وقد استُخدم تطبيق اجتماعات مشبوه يُدعى "GrassCall" مؤخرًا لنشر برمجيات خبيثة تستنزف محافظ العملات الرقمية للمستخدمين.

يُزعم أن عملية الاحتيال نفذها فريق قرصنة روسي يُعرف باسم "Crazy Evil". وتتخصص هذه المجموعة من مجرمي الإنترنت في هجمات الهندسة الاجتماعية التي تخدع المستخدمين لتثبيت برامج مصابة على أجهزة الكمبيوتر الخاصة بهم التي تعمل بنظامي التشغيل Mac وWindows. 

تستهدف مجموعة "كريزي إيفل" عادةً الأشخاص في مجال العملات الرقمية، حيث تروج لفرص عمل وألعاب وهمية عبر مختلف مواقع التواصل الاجتماعي. وقد صرحت شركة " ريكوردد فيوتشر"بأنها ربطت "أكثر من عشر عمليات احتيال نشطة على مواقع التواصل الاجتماعي" بمجموعة "كريزي إيفل".

نشر قراصنة وظائف وهمية لشركة وهمية تدعى ChainSeeker.io

وفي الآونة الأخيرة، تقارير عن شركة احتيالية أخرى. هذه المرة، كانت الشركة تُدعى ChainSeeker.io، وفقًا لأحد مستخدمي موقعX. 

بحسب التقارير، أنشأ مهاجمون حسابات وهمية لشركة ChainSeeker.io على موقع لينكدإن، حيث نشروا إعلانات وظائف مميزة. ومن بين مواقع التوظيف الشهيرة الأخرى التي رُصدت فيها هذه الإعلانات الوهمية: CryptoJobList وWellFound. 

تم التواصل مع جميع المتقدمين للوظائف عبر البريد الإلكتروني، والذي وجههم إلى الاتصال برئيس قسم التسويق في الشركة على تطبيق تيليجرام. 

ثم يطلب الرئيس من المستخدم تنزيل تطبيق مكالمات فيديو يُدعى "GrassCall" من موقع ويب تم حذفه لاحقًا. وبحسب متصفح المستخدم، كان الموقع يوفر له نسخة لنظامي التشغيل ماك أو ويندوز.

بعد تنزيل التطبيق، يُطلب من المستخدمين إدخال رمز يُشاركه مدير التسويق في دردشة تيليجرام. ثم يُوفر الموقع الإلكتروني إما عميلًا لنظام ماك باسم "GrassCall_v.6.10.dmg" [VirusTotal] أو عميلًا لنظام ويندوز باسم "GrassCall.exe" [VirusTotal]. بمجرد إدخال الرمز الصحيح، يُثبّت كلا التطبيقين برنامجًا لسرقة المعلومات، مثل Rhadamanthys (على ويندوز)، أو برامج التجسس للتحكم عن بُعد (RATs)، أو برامج ضارة أخرى. أما على أجهزة ماك، فيتم تثبيت برنامج Atomic (AMOS) Stealer الضار.

بمجرد تثبيته، يقوم الفيروس بجمع عناوين المحافظ الإلكترونية، وملفات تعريف الارتباط الخاصة بالمصادقة، وكلمات المرور المخزنة في متصفح الإنترنت وتطبيق Apple Keychain. تُرفع المعلومات المسروقة إلى خادم وتُنشر على قنوات Telegram التي يملكها المهاجمون. 

في حال العثور على محفظة إلكترونية، يستخدم المخترقون أسلوب التخمين العشوائي لكسر كلمات المرور وسرقة أموال المستخدم. ومن هذه الأموال، يدفع المخترقون للمستخدم الذي دفع الضحية غير المشتبهة إلى تحميل التطبيق الخبيث.

بحسب المعلومات التي تم نشرها علنًا حول المدفوعات، يبدو أن أعضاء عصابة "كريزي إيفل" يكسبون عشرات الآلاف من الدولارات عن كل ضحية.

روى العديد من المستخدمين تجاربهم بعد التقدم لوظائف احتيالية كهذه. كتب كريستيان غيتا، أحد مستخدمي لينكدإن، على المنصة: "بدا الأمر شرعياً من جميع النواحي تقريباً. حتى أداة مؤتمرات الفيديو كانت تتمتع بحضور إلكتروني مقنع للغاية."

وبحسب التقارير، انتقل المخترقون إلى حملة جديدة للهندسة الاجتماعية

باحث الأمن السيبراني، غونجكسا، عنdentتطبيقات اجتماعات مشبوهة تُدعى غاذروم Vibeكول. استُخدم غاذروم في حملة سابقة من قِبل مجموعة فرعية من كريزي إيفل تُدعى "كيفلاند". ومن المثير للاهتمام أن العلامة التجارية لكلا التطبيقين تُشابه إلى حد كبيرdentغراس كول. والآن، انتقل المحتالون إلى حملتهم الجديدة باستخدام Vibeكول، والتي يتم تداولها حاليًا بين الباحثين عن عمل في مجال الويب 3.

ورداً على الاهتمام الذي حظي به هذا الهجوم على الإنترنت، أفادت التقارير أن معظم مواقع التوظيف قد قامت بإزالة إعلانات الوظائف الخاصة بشركة Chain Seeker. 

لم تعد نتائج بحث لينكدإن تُظهر أي وظائف مرتبطة بموقع Chainseeker.io. في الوقت نفسه، تم تصنيف موقعه الإلكتروني في قواعد بيانات المجتمع على أنه مشبوه. علاوة على ذلك، تم حذف جميع حسابات موظفي الشركة على لينكدإن. يُنصح المستخدمون الذين سبق لهم التعامل مع محتالين أو تثبيت تطبيقات مشبوهة على أجهزتهم بتغيير كلمات المرور ورموز المصادقة الخاصة بهم، ونقل عملاتهم الرقمية إلى محافظ جديدة كإجراء احترازي. كما يُوصى بتفعيل المصادقة الثنائية عبر تطبيق مصادقة على جميع المواقع الإلكترونية التي تدعم هذه الميزة.