Des pirates informatiques russes diffusent le logiciel malveillant GrassCall pour vider les portefeuilles de cryptomonnaies via de fausses offres d'emploi

Dans le cadre d'une campagne d'ingénierie sociale, des pirates informatiques enverraient de fausses offres d'emploi à des personnes en recherche d'emploi dans le secteur du web3, avec des intentions malveillantes. Une application de rencontre douteuse appelée « GrassCall » a récemment été utilisée pour diffuser un logiciel malveillant qui vide les portefeuilles de cryptomonnaies des utilisateurs.

La fraude serait l'œuvre d'une équipe de pirates informatiques russes connue sous le nom de « Crazy Evil ». Ce groupe de cybercriminels est spécialisé dans les attaques d'ingénierie sociale qui incitent les utilisateurs à installer des logiciels infectés sur leurs ordinateurs Mac et Windows. 

Crazy Evil cible généralement les personnes du secteur des cryptomonnaies, en diffusant de fausses offres d'emploi et des jeux frauduleux via divers réseaux sociaux. La société de cybersécurité Recorded Futurea déclaré avoir lié « plus de dix arnaques actives sur les réseaux sociaux » à Crazy Evil.

Des pirates informatiques ont publié de fausses offres d'emploi pour une entreprise fictive appelée ChainSeeker.io

Plus récemment, des signalements concernant une autre fausse entreprise frauduleuse ont fait surface. Cette fois-ci, l'entreprise s'appelait ChainSeeker.io, selon un utilisateur deX. 

D'après les informations recueillies, des cybercriminels ont créé de faux profils d'entreprise pour ChainSeeker.io sur LinkedIn, où ils diffusent des offres d'emploi premium. D'autres plateformes d'emploi populaires, comme CryptoJobList et WellFound, ont également repéré ces fausses annonces. 

Tous les candidats ayant postulé ont été contactés par courriel, qui leur demandait de contacter le responsable marketing de l'entreprise sur Telegram. 

Le responsable demandait ensuite à l'utilisateur de télécharger une application d'appel vidéo nommée « GrassCall » depuis un site web désormais indisponible. Selon le navigateur de l'utilisateur, le site proposait un client pour Mac ou Windows.

Après avoir téléchargé l'application, les utilisateurs sont invités à saisir un code communiqué par le CMO via Telegram. Le site web propose ensuite un client Mac « GrassCall_v.6.10.dmg » [VirusTotal] ou un client Windows « GrassCall.exe » [VirusTotal]. Une fois le code validé, les deux applications installent un voleur de données, tel que Rhadamanthys (sous Windows), un cheval de Troie d'accès à distance (RAT) ou un autre logiciel malveillant. Sur Mac, le logiciel malveillant Atomic (AMOS) Stealer est installé.

Une fois installé, le virus collecte les adresses de portefeuilles électroniques, les cookies d'authentification et les mots de passe stockés dans le navigateur et le Trousseau d'accès Apple. Ces informations volées sont ensuite téléchargées sur un serveur et publiées sur des chaînes Telegram appartenant aux personnes malveillantes. 

Si un portefeuille numérique est découvert, les pirates utilisent une méthode de force brute pour déchiffrer les mots de passe et vider le compte de l'utilisateur. Avec cet argent, ils rémunèrent l'utilisateur qui a incité la victime, sans méfiance, à télécharger l'application malveillante.

D'après les informations de paiement rendues publiques, les membres de Crazy Evil gagneraient apparemment des dizaines de milliers de dollars par victime.

Plusieurs utilisateurs ont relaté leurs mésaventures après avoir postulé à des offres d'emploi frauduleuses. Cristian Ghita, utilisateur de LinkedIn, a publié sur la plateforme : « L'offre paraissait légitime à tous points de vue. Même l'outil de visioconférence semblait très crédible. »

Les pirates informatiques seraient passés à une nouvelle campagne d'ingénierie sociale

Le chercheur en cybersécurité Gonjxaa égalementdentdes applications de rencontre douteuses appelées Gatherum et VibeCall. Gatherum avait été utilisée lors d'une précédente campagne par un sous-groupe de Crazy Evil nommé « Kevland ». Curieusement, l'identité visuelle des deux applications est quasiment identiquedentcelle de GrassCall. Les escrocs ont désormais lancé leur nouvelle campagne avec VibeCall, qui circule actuellement parmi les personnes en recherche d'emploi dans le secteur du Web3.

Suite à l'attention médiatique suscitée par cette attaque en ligne, les offres d'emploi de Chain Seeker auraient été retirées par la plupart des plateformes d'emploi. 

Les résultats de recherche LinkedIn ne font plus apparaître aucune offre d'emploi liée à Chainseeker.io. Parallèlement, son site web a été signalé comme suspect dans les bases de données communautaires. De plus, les comptes LinkedIn des employés de l'entreprise ont tous été supprimés. Il est conseillé aux utilisateurs ayant déjà interagi avec des escrocs ou installé des applications suspectes sur leurs appareils de modifier leurs mots de passe et jetons d'authentification, et de transférer leurs cryptomonnaies vers de nouveaux portefeuilles par mesure de précaution. Il est également recommandé d'activer l'authentification à deux facteurs via une application d'authentification sur tous les sites web compatibles.