Im Rahmen einer Social-Engineering-Kampagne versenden Hacker Berichten zufolge gefälschte Stellenangebote an Jobsuchende im Web3-Bereich, um böswillige Absichten zu verfolgen. Eine dubiose Meeting-App namens „GrassCall“ wurde kürzlich missbraucht, um Schadsoftware zu verbreiten, die die Krypto-Wallets der Nutzer leert.
Der Betrug wird mutmaßlich von einem russischen Hackerteam namens „Crazy Evil“ verübt. Diese Gruppe von Cyberkriminellen hat sich auf Social-Engineering-Angriffe spezialisiert, die Benutzer dazu verleiten, infizierte Software auf ihren Mac- und Windows-PCs zu installieren.
Crazy Evil hat es vor allem auf Personen im Kryptobereich abgesehen und bewirbt über verschiedene Social-Media-Plattformen gefälschte Stellenangebote und Spiele. Das Cybersicherheitsunternehmen Recorded Future gab an, mehr als zehn aktive Betrugsfälle in sozialen Medien mit Crazy Evil in Verbindung gebracht zu haben.
Hacker veröffentlichten gefälschte Stellenanzeigen für eine Scheinfirma namens ChainSeeker.io
Kürzlich Berichte X-Nutzer hieß das Unternehmen diesmal ChainSeeker.io .
Laut Berichten haben Angreifer gefälschte Firmenprofile für ChainSeeker.io auf LinkedIn erstellt und dort Premium-Stellenanzeigen geschaltet. Auch auf anderen bekannten Jobbörsen wie CryptoJobList und WellFound wurden die gefälschten Anzeigen entdeckt.
Alle Bewerber wurden per E-Mail kontaktiert und darin aufgefordert, sich mit dem Marketingchef des Unternehmens über Telegram in Verbindung zu setzen.
Der Einsatzleiter forderte den Nutzer anschließend auf, eine Videoanruf-App namens „GrassCall“ von einer inzwischen gelöschten Website herunterzuladen. Je nach Browser des Nutzers wurde ihm auf der Website ein Client für Mac oder Windows angeboten.
Nach dem Herunterladen der App werden die Nutzer aufgefordert, einen vom CMO im Telegram-Chat mitgeteilten Code einzugeben. Die Website stellt dann entweder einen Mac-Client („GrassCall_v.6.10.dmg“ [VirusTotal]) oder einen Windows-Client („GrassCall.exe“ [VirusTotal]) bereit. Nach Eingabe des korrekten Codes installieren beide Apps einen Datendiebstahl-Trojaner, wie beispielsweise Rhadamanthys (unter Windows), Remote-Access-Trojaner (RATs) oder andere Schadsoftware. Auf Macs wird die Atomic (AMOS) Stealer-Malware installiert.
Nach der Installation sammelt das Virus Wallet-Adressen, Authentifizierungs-Cookies und Passwörter, die im Browser und im Apple Keychain gespeichert sind. Die gestohlenen Daten werden auf einen Server hochgeladen und auf Telegram-Kanälen der Angreifer veröffentlicht.
Sobald die Hacker eine Wallet gefunden haben, versuchen sie mit Brute-Force-Angriffen, die Passwörter zu knacken und das Guthaben des Nutzers zu plündern. Von diesem Guthaben bezahlen sie denjenigen, der das ahnungslose Opfer dazu gebracht hat, die Schadsoftware herunterzuladen.
Laut öffentlich zugänglichen Zahlungsinformationen verdienen Mitglieder von Crazy Evil offenbar Zehntausende von Dollar pro Opfer.
Verschiedene Nutzer berichteten von ihren Erfahrungen nach Bewerbungen auf solche betrügerischen Stellenanzeigen. Cristian Ghita, ein LinkedIn-Nutzer , schrieb auf der Plattform: „Es wirkte aus fast jeder Perspektive seriös. Selbst das Videokonferenz-Tool hatte einen fast glaubwürdigen Online-Auftritt.“
Der Cybersicherheitsforscher Gonjxa hat zudem die dubiosen Meeting-Apps Gatherum und Vibe Call dent dent Vibe gestartet , die derzeit unter Jobsuchenden im Web3-Bereich kursiert.
Als Reaktion auf die Aufmerksamkeit, die dieser Angriff online erregte, wurden die Stellenanzeigen von Chain Seeker Berichten zufolge von den meisten Jobbörsen entfernt.
Die LinkedIn-Suche liefert keine Stellenanzeigen mehr, die mit Chainseeker.io in Verbindung stehen. Gleichzeitig wurde die Website in Community-Datenbanken als verdächtig markiert. Darüber hinaus wurden alle LinkedIn-Profile der Mitarbeiter des Unternehmens gelöscht. Nutzern, die bereits mit Betrügern in Kontakt standen oder verdächtige Apps auf ihren Geräten installiert haben, wird empfohlen, ihre Passwörter und Authentifizierungstoken zu ändern und ihre Kryptowährungen vorsorglich in neue Wallets zu übertragen. Es wird außerdem empfohlen, die Zwei-Faktor-Authentifizierung über eine entsprechende App auf allen Websites zu aktivieren, die diese Funktion unterstützen.
