Los mejores análisis sobre criptomonedas directamente en tu bandeja de entrada.
Hackers rusos difunden malware GrassCall para vaciar billeteras de criptomonedas mediante ofertas de trabajo falsas
Shummas Humayun
- Los piratas informáticos rusos distribuyeron malware a través de una aplicación de reuniones falsa llamada GrassCall para vaciar las billeteras de criptomonedas.
- Esta campaña de ingeniería social está vinculada al grupo de delitos cibernéticos Crazy Evil.
- El grupo se dirige a sus víctimas mediante publicaciones de empleo falsas en redes sociales y portales de empleo Web3.
Como parte de una campaña de ingeniería social, hackers están enviando ofertas de trabajo falsas a solicitantes de empleo en el sector web3 con intenciones maliciosas. Recientemente, se utilizó una aplicación de reuniones sospechosa llamada "GrassCall" para propagar malware que drena las criptomonedas de los usuarios.
El fraude es presuntamente obra de un equipo de hackers rusos conocido como "Crazy Evil". Este grupo de ciberdelincuentes se especializa en ataques de ingeniería social que engañan a los usuarios para que instalen software infectado en sus computadoras Mac y Windows.
Crazy Evil suele atacar a personas del mundo de las criptomonedas, donde promociona falsas ofertas de trabajo y juegos a través de diversas redes sociales. La empresa de ciberseguridad Recorded Futureafirmó haber vinculado más de diez estafas activas en redes sociales con Crazy Evil.
Los piratas informáticos publicaron ofertas de trabajo falsas para una empresa falsa llamada ChainSeeker.io
Recientemente, informes sobre otra empresa fraudulenta. Esta vez, la empresa se llamaba ChainSeeker.io, según un usuario deX.
Según los informes, los cibercriminales crearon perfiles falsos de empresas para ChainSeeker.io en LinkedIn, donde han estado enviando ofertas de empleo premium. Otras plataformas de empleo populares donde se detectó la oferta falsa incluyen CryptoJobList y WellFound.
Todos aquellos que postularon a los puestos fueron contactados vía correo electrónico, que les indicó que se comunicaran con el jefe de marketing de la empresa en Telegram.
El jefe solicitaba entonces al usuario que descargara una aplicación de videollamadas llamada "GrassCall" de un sitio web ya eliminado. Según el navegador del usuario, el sitio web le ofrecía un cliente para Mac o Windows.
Tras descargar la aplicación, se solicita a los usuarios que introduzcan un código compartido por el CMO en el chat de Telegram. El sitio web proporciona un cliente para Mac "GrassCall_v.6.10.dmg" [VirusTotal] o un cliente para Windows "GrassCall.exe" [VirusTotal]. Una vez introducido el código correcto, ambas aplicaciones instalan un ladrón de información, como Rhadamanthys (en Windows), troyanos de acceso remoto (RAT) u otro malware. En Mac, se instala el malware Atomic (AMOS) Stealer.
Una vez instalado, el virus recopila direcciones de billetera, cookies de autenticación y contraseñas almacenadas en el navegador y el llavero de Apple. La información robada se sube a un servidor y se publica en los canales de Telegram propiedad de los atacantes.
Si encuentran una billetera, los hackers usan un método de fuerza bruta para descifrar las contraseñas y vaciar el dinero del usuario. Con estos fondos, pagan al usuario que indujo a la víctima desprevenida a descargar la aplicación maliciosa.
Según la información de pago publicada públicamente, los miembros de Crazy Evil aparentemente ganan decenas de miles de dólares por víctima.
Varios usuarios han relatado sus experiencias tras postularse a ofertas de trabajo fraudulentas. Cristian Ghita, usuario de LinkedIn, publicó en la plataforma: «Parecía legítimo desde casi todos los ángulos. Incluso la herramienta de videoconferencia tenía una presencia en línea casi creíble».
Según se informa, los piratas informáticos han pasado a una nueva campaña de ingeniería social
El investigador de ciberseguridad Gonjxatambién hadentaplicaciones de reuniones sospechosas llamadas Gatherum y VibeCall. Gatherum fue utilizada en una campaña anterior por un subgrupo de Crazy Evil llamado "Kevland". Curiosamente, la marca de ambas aplicaciones es prácticamente idénticadentla de GrassCall. Ahora, los estafadores han lanzado su nueva campaña con VibeCall, que actualmente se está difundiendo entre quienes buscan empleo en plataformas Web3.
En respuesta a la atención que recibió este ataque en línea, se informa que las publicaciones de trabajo de Chain Seeker han sido eliminadas de la mayoría de las bolsas de trabajo.
Los resultados de búsqueda de LinkedIn ya no muestran ninguna oferta de trabajo vinculada a Chainseeker.io. Al mismo tiempo, su sitio web ha sido marcado en las bases de datos de la comunidad por ser sospechoso. Además, se han eliminado todas las cuentas de LinkedIn de los empleados de la empresa. Se recomienda a los usuarios que ya hayan interactuado con estafadores o instalado aplicaciones sospechosas en sus dispositivos que cambien sus contraseñas y tokens de autenticación y transfieran sus criptomonedas a nuevas billeteras como medida de precaución. También se recomienda activar la autenticación de dos factores mediante una aplicación de autenticación en todos los sitios web que la admitan.
Si estás leyendo esto, ya llevas ventaja. Mantente al día con nuestro boletín informativo.
Aviso legal. La información proporcionada no constituye asesoramiento comercial. Cryptopolitanconsultar no se responsabiliza de las inversiones realizadas con base en la información proporcionada en esta página. Recomendamostronencarecidamente realizar una investigación independientedent un profesional cualificado antes de tomar cualquier decisión de inversión.
Shummas Humayun
Shummas es un ex escritor de contenido técnico e investigador.
CURSO
- ¿Qué criptomonedas pueden hacerte ganar dinero?
- Cómo mejorar tu seguridad con una billetera (y cuáles realmente vale la pena usar)
- Estrategias de inversión poco conocidas que utilizan los profesionales
- Cómo empezar a invertir en criptomonedas (qué plataformas de intercambio usar, las mejores criptomonedas para comprar, etc.)