Como parte de una campaña de ingeniería social, hackers están enviando ofertas de trabajo falsas a solicitantes de empleo en el sector web3 con intenciones maliciosas. Recientemente, se utilizó una aplicación de reuniones sospechosa llamada "GrassCall" para propagar malware que drena las criptomonedas de los usuarios.
El fraude es presuntamente obra de un equipo de hackers rusos conocido como "Crazy Evil". Este grupo de ciberdelincuentes se especializa en ataques de ingeniería social que engañan a los usuarios para que instalen software infectado en sus computadoras Mac y Windows.
Crazy Evil suele atacar a personas del sector de las criptomonedas, donde promocionan ofertas de trabajo y juegos falsos a través de diversas redes sociales. Recorded Future , afirmó haber vinculado a Crazy Evil con más de diez estafas activas en redes sociales.
Los piratas informáticos publicaron ofertas de trabajo falsas para una empresa falsa llamada ChainSeeker.io
Recientemente, informes sobre otra empresa fraudulenta. Esta vez, la empresa se llamaba ChainSeeker.io, según un usuario de X.
Según los informes , los cibercriminales crearon perfiles falsos de empresas para ChainSeeker.io en LinkedIn, donde han estado enviando ofertas de empleo premium. Otras plataformas de empleo populares donde se detectó la oferta falsa incluyen CryptoJobList y WellFound.
Todos aquellos que postularon a los puestos fueron contactados vía correo electrónico, que les indicó que se comunicaran con el jefe de marketing de la empresa en Telegram.
El jefe solicitaba entonces al usuario que descargara una aplicación de videollamadas llamada "GrassCall" de un sitio web ya eliminado. Según el navegador del usuario, el sitio web le ofrecía un cliente para Mac o Windows.
Tras descargar la aplicación, se solicita a los usuarios que introduzcan un código compartido por el CMO en el chat de Telegram. El sitio web proporciona un cliente para Mac "GrassCall_v.6.10.dmg" [VirusTotal] o un cliente para Windows "GrassCall.exe" [VirusTotal]. Una vez introducido el código correcto, ambas aplicaciones instalan un ladrón de información, como Rhadamanthys (en Windows), troyanos de acceso remoto (RAT) u otro malware. En Mac, se instala el malware Atomic (AMOS) Stealer.
Una vez instalado, el virus recopila direcciones de billetera, cookies de autenticación y contraseñas almacenadas en el navegador y el llavero de Apple. La información robada se sube a un servidor y se publica en los canales de Telegram propiedad de los atacantes.
Si encuentran una billetera, los hackers usan un método de fuerza bruta para descifrar las contraseñas y vaciar el dinero del usuario. Con estos fondos, pagan al usuario que indujo a la víctima desprevenida a descargar la aplicación maliciosa.
Según la información de pago publicada públicamente, los miembros de Crazy Evil aparentemente ganan decenas de miles de dólares por víctima.
Varios usuarios han relatado sus experiencias tras postularse a este tipo de ofertas de trabajo fraudulentas. Cristian Ghita, usuario de LinkedIn , publicó en la plataforma: «Parecía legítimo desde casi todos los ángulos. Incluso la herramienta de videoconferencia tenía una presencia en línea casi creíble».
El investigador de ciberseguridad Gonjxa también ha dent las aplicaciones de reuniones sospechosas Gatherum y Vibe Call. Gatherum fue utilizada en una campaña anterior por un subgrupo de Crazy Evil llamado "Kevland". Curiosamente, la imagen de marca de ambas aplicaciones es prácticamente idéntica dent la de GrassCall. Ahora, los estafadores han lanzado su nueva campaña con Vibe Call, que actualmente circula entre los solicitantes de empleo de la Web3.
En respuesta a la atención que recibió este ataque en línea, se informa que las publicaciones de trabajo de Chain Seeker han sido eliminadas de la mayoría de las bolsas de trabajo.
Los resultados de búsqueda de LinkedIn ya no muestran ninguna oferta de trabajo vinculada a Chainseeker.io. Al mismo tiempo, su sitio web ha sido marcado en las bases de datos de la comunidad por ser sospechoso. Además, se han eliminado todas las cuentas de LinkedIn de los empleados de la empresa. Se recomienda a los usuarios que ya hayan interactuado con estafadores o instalado aplicaciones sospechosas en sus dispositivos que cambien sus contraseñas y tokens de autenticación y transfieran sus criptomonedas a nuevas billeteras como medida de precaución. También se recomienda activar la autenticación de dos factores mediante una aplicación de autenticación en todos los sitios web que la admitan.
