Die besten Krypto-Einblicke direkt in Ihren Posteingang.
Russische Hacker verbreiten GrassCall-Malware, um über gefälschte Stellenanzeigen Krypto-Wallets zu leeren
Shummas Humayun
- Russische Hacker verbreiteten Schadsoftware über eine gefälschte Meeting-App namens GrassCall, um Krypto-Wallets zu leeren.
- Diese Social-Engineering-Kampagne steht in Verbindung mit der Cyberkriminalitätsgruppe Crazy Evil.
- Die Gruppe zielt mit gefälschten Stellenanzeigen in sozialen Medien und Web3-Jobbörsen auf ihre Opfer ab.
Im Rahmen einer Social-Engineering-Kampagne versenden Hacker Berichten zufolge gefälschte Stellenangebote an Jobsuchende im Web3-Bereich, um böswillige Absichten zu verfolgen. Eine dubiose Meeting-App namens „GrassCall“ wurde kürzlich missbraucht, um Schadsoftware zu verbreiten, die die Krypto-Wallets der Nutzer leert.
Der Betrug wird mutmaßlich von einem russischen Hackerteam namens „Crazy Evil“ verübt. Diese Gruppe von Cyberkriminellen hat sich auf Social-Engineering-Angriffe spezialisiert, die Benutzer dazu verleiten, infizierte Software auf ihren Mac- und Windows-PCs zu installieren.
Crazy Evil hat es vor allem auf Personen im Kryptobereich abgesehen und bewirbt über verschiedene Social-Media-Plattformen gefälschte Stellenangebote und Spiele. Das Cybersicherheitsunternehmen Recorded Futuregab an, mehr als zehn aktive Betrugsfälle in sozialen Medien mit Crazy Evil in Verbindung gebracht zu haben.
Hacker veröffentlichten gefälschte Stellenanzeigen für eine Scheinfirma namens ChainSeeker.io
Kürzlich Berichte hieß das Unternehmen diesmal ChainSeeker.io X-Nutzer.
Laut Berichtenhaben Angreifer gefälschte Firmenprofile für ChainSeeker.io auf LinkedIn erstellt und dort Premium-Stellenanzeigen geschaltet. Auch auf anderen bekannten Jobbörsen wie CryptoJobList und WellFound wurden die gefälschten Anzeigen entdeckt.
Alle Bewerber wurden per E-Mail kontaktiert und darin aufgefordert, sich mit dem Marketingchef des Unternehmens über Telegram in Verbindung zu setzen.
Der Einsatzleiter forderte den Nutzer anschließend auf, eine Videoanruf-App namens „GrassCall“ von einer inzwischen gelöschten Website herunterzuladen. Je nach Browser des Nutzers wurde ihm auf der Website ein Client für Mac oder Windows angeboten.
Nach dem Herunterladen der App werden die Nutzer aufgefordert, einen vom CMO im Telegram-Chat mitgeteilten Code einzugeben. Die Website stellt dann entweder einen Mac-Client („GrassCall_v.6.10.dmg“ [VirusTotal]) oder einen Windows-Client („GrassCall.exe“ [VirusTotal]) bereit. Nach Eingabe des korrekten Codes installieren beide Apps einen Datendiebstahl-Trojaner, wie beispielsweise Rhadamanthys (unter Windows), Remote-Access-Trojaner (RATs) oder andere Schadsoftware. Auf Macs wird die Atomic (AMOS) Stealer-Malware installiert.
Nach der Installation sammelt das Virus Wallet-Adressen, Authentifizierungs-Cookies und Passwörter, die im Browser und im Apple Keychain gespeichert sind. Die gestohlenen Daten werden auf einen Server hochgeladen und auf Telegram-Kanälen der Angreifer veröffentlicht.
Sobald die Hacker eine Wallet gefunden haben, versuchen sie mit Brute-Force-Angriffen, die Passwörter zu knacken und das Guthaben des Nutzers zu plündern. Von diesem Guthaben bezahlen sie denjenigen, der das ahnungslose Opfer dazu gebracht hat, die Schadsoftware herunterzuladen.
Laut öffentlich zugänglichen Zahlungsinformationen verdienen Mitglieder von Crazy Evil offenbar Zehntausende von Dollar pro Opfer.
Verschiedene Nutzer berichteten von ihren Erfahrungen nach Bewerbungen auf solche betrügerischen Stellenanzeigen. Cristian Ghita, ein LinkedIn-Nutzer, schrieb auf der Plattform: „Es wirkte aus fast jeder Perspektive seriös. Selbst das Videokonferenz-Tool hatte einen fast glaubwürdigen Online-Auftritt.“
Berichten zufolge haben die Hacker zu einer neuen Social-Engineering-Kampagne übergegangen
Der Cybersicherheitsforscher Gonjxahat zudemdentdie dubiosen Meeting-Apps Gatherum und VibeCalldentgestartet Vibe, die derzeit unter Jobsuchenden im Web3-Bereich kursiert.
Als Reaktion auf die Aufmerksamkeit, die dieser Angriff online erregte, wurden die Stellenanzeigen von Chain Seeker Berichten zufolge von den meisten Jobbörsen entfernt.
Die LinkedIn-Suche liefert keine Stellenanzeigen mehr, die mit Chainseeker.io in Verbindung stehen. Gleichzeitig wurde die Website in Community-Datenbanken als verdächtig markiert. Darüber hinaus wurden alle LinkedIn-Profile der Mitarbeiter des Unternehmens gelöscht. Nutzern, die bereits mit Betrügern in Kontakt standen oder verdächtige Apps auf ihren Geräten installiert haben, wird empfohlen, ihre Passwörter und Authentifizierungstoken zu ändern und ihre Kryptowährungen vorsorglich in neue Wallets zu übertragen. Es wird außerdem empfohlen, die Zwei-Faktor-Authentifizierung über eine entsprechende App auf allen Websites zu aktivieren, die diese Funktion unterstützen.
Wenn Sie das hier lesen, sind Sie schon einen Schritt voraus. Bleiben Sie mit unserem Newsletter auf dem Laufenden.
Haftungsausschluss. Die bereitgestellten Informationen stellen keine Anlageberatung dar. Cryptopolitan/ übernimmt keine Haftung für Investitionen, die auf Grundlage der Informationen auf dieser Seite getätigt werden. Wirtronempfehlen dringend, vor jeder Anlageentscheidung eigene Recherchen durchzuführendent oder einen qualifizierten Fachmann zu konsultieren
Shummas Humayun
Shummas ist ehemalige technische Redakteurin und Forscherin.
CRASH-KURS
- Mit welchen Kryptowährungen kann man Geld verdienen?
- Wie Sie Ihre Sicherheit mit einer digitalen Geldbörse erhöhen können (und welche sich tatsächlich lohnen)
- Wenig bekannte Anlagestrategien, die Profis anwenden
- Wie man mit dem Investieren in Kryptowährungen beginnt (welche Börsen man nutzen sollte, welche Kryptowährung am besten zum Kauf geeignet ist usw.)