Come parte di una campagna di ingegneria sociale, gli hacker stanno inviando offerte di lavoro false a persone in cerca di lavoro nello spazio Web3 con intenzioni dannose. Una dubbia app di incontro chiamata "Grasscall" è stata recentemente utilizzata per diffondere malware che drena i portafogli cripto dell'utente.
La frode è presumibilmente eseguita da una squadra di hacker russi conosciuta come "Crazy Evil". Questo gruppo di criminali informatici è specializzato in attacchi di ingegneria sociale che inducono gli utenti all'installazione di software infetto sui loro PC Mac e Windows.
Crazy Evil si rivolge comunemente alle persone nello spazio delle criptovalute, in cui promuovono false opportunità di lavoro e giochi tramite vari siti Web di social media. Una società di sicurezza informatica, ha registrato un futuro , ha affermato di aver collegato "oltre dieci truffe attive sui social media" a Crazy Evil.
Gli hacker hanno pubblicato lavori falsi per una compagnia finta chiamata Caodseker.io
Più recentemente segnalazioni di un'altra società di truffa falsa. Questa volta, la società si chiamava Chainseker.io, secondo un utente X.
Secondo i rapporti , gli attori delle minacce hanno creato falsi profili aziendali per Chainseker.io su LinkedIn, dove hanno inviato elenchi di lavoro premium. Altre bacheche popolari di lavoro in cui è stato individuato l'elenco falso includono Cryptojoblist e Wellfound.
Tutti coloro che hanno fatto domanda per i lavori sono stati contattati via e -mail, il che ha incaricato loro di contattare il capo di marketing dell'azienda su Telegram.
Il capo richiederebbe quindi l'utente a scaricare un'app di videochiamata denominata "GrassCall" da un sito Web ora cancellato. A seconda del browser dell'utente, il sito Web offrirebbe loro un client Mac o Windows.
Dopo aver scaricato l'app, agli utenti viene chiesto di inserire un codice condiviso dall'OCM nella chat Telegram. Il sito Web fornisce quindi un client [grasscall_v.6.10.dmg "[virustotal] o un client [virustotale] di Windows" Grasscall.exe ". Una volta immesso il codice corretto, entrambe le app installano un furto di informazioni, come Rhadamanthys (su Windows), Trojan (ratti) di accesso remoto o altri malware. Su MACS, viene installato il malware del furto Atomic (AMOS).
Una volta installato, il virus raccoglie indirizzi del portafoglio, cookie di autenticazione e password memorizzate nel browser online e nel portachiavi di Apple. Le informazioni rubate vengono caricate su un server e vengono pubblicate su canali telegrammi di proprietà degli attori dannosi.
Se viene trovato un portafoglio, gli hacker utilizzano un metodo di forza bruta per rompere le password e drenare le risorse dell'utente. Da queste risorse, gli hacker pagano l'utente che ha realizzato la vittima ignaro scaricare l'app dannosa.
Secondo le informazioni di pagamento pubblicamente rilasciate, i membri di Crazy Evil apparentemente guadagnano decine di migliaia di dollari per vittima.
Vari utenti hanno raccontato le loro esperienze dopo aver fatto domanda per tali offerte di lavoro. Cristian Ghita, un utente di LinkedIn , ha pubblicato sulla piattaforma: “Sembrava legittimo da quasi tutti gli angoli. Anche lo strumento di conferenza video aveva una presenza online quasi credibile. "
Il ricercatore di sicurezza informatica, Gonjxa , ha anche dent app di incontri dubbie chiamati chiamati e Vibe . Gatherum era usato nella campagna precedente da un sottogruppo di folle male chiamato "Kevland". È interessante notare che il branding di entrambe le app è praticamente in dent di grasso. Ora, i truffatori sono passati alla loro nuova campagna con Vibe Call, che è attualmente in fase di diffusione tra le persone in cerca di lavoro Web3.
In risposta all'attenzione che questo attacco ha ricevuto online, le offerte di lavoro di Chain Seeker sono state ora rimosse dalla maggior parte delle bacheche di lavoro.
I risultati della ricerca di LinkedIn non restituiscono più alcun post di lavoro collegato a Chainseker.io. Allo stesso tempo, il suo sito Web è stato contrassegnato in database della comunità per essere sospettosi. Inoltre, i conti LinkedIn dei dipendenti dell'azienda sono stati tutti eliminati. Gli utenti che hanno già interagito con truffatori o installati app sospette sui loro dispositivi si consiglia di modificare le loro password e i token di autenticazione e spostare la loro criptovaluta su portafogli freschi come misura precauzionale. Si consiglia inoltre di attivare l'autenticazione a due fattori tramite un'app di autenticazione su tutti i siti Web che supportano questa funzione.
Accademia crittopolitana: in arrivo - un nuovo modo per guadagnare entrate passive con DeFi nel 2025. Scopri di più
