Nell'ambito di una campagna di ingegneria sociale, alcuni hacker stanno inviando false offerte di lavoro a chi cerca lavoro nel web con intenzioni malevole. Un'app di dubbia provenienza chiamata "GrassCall" è stata recentemente utilizzata per diffondere malware che prosciuga i portafogli crittografici degli utenti.
La frode sarebbe stata perpetrata da un team di hacker russi noto come "Crazy Evil". Questo gruppo di criminali informatici è specializzato in attacchi di ingegneria sociale che inducono gli utenti a installare software infetti sui loro Mac e PC Windows.
Crazy Evil prende di mira comunemente chi opera nel settore delle criptovalute, promuovendo finte opportunità di lavoro e giochi tramite vari social media. Un'azienda di sicurezza informatica, Recorded Future , ha dichiarato di aver collegato "oltre dieci truffe attive sui social media" a Crazy Evil.
Gli hacker hanno pubblicato falsi annunci di lavoro per una società fittizia chiamata ChainSeeker.io
Più di recente, segnalazioni di un'altra falsa società truffaldina. Questa volta, secondo un utente X .
Secondo i report , gli autori della minaccia hanno creato falsi profili aziendali per ChainSeeker.io su LinkedIn, dove hanno pubblicato annunci di lavoro premium. Altri popolari portali di lavoro in cui sono stati individuati annunci falsi includono CryptoJobList e WellFound.
Tutti coloro che hanno presentato domanda di lavoro sono stati contattati via e-mail, con l'invito a contattare il responsabile marketing dell'azienda su Telegram.
Il capo chiedeva quindi all'utente di scaricare un'app per videochiamate chiamata "GrassCall" da un sito web ora cancellato. A seconda del browser utilizzato dall'utente, il sito web offriva un client per Mac o Windows.
Dopo aver scaricato l'app, agli utenti viene chiesto di inserire un codice condiviso dal CMO nella chat di Telegram. Il sito web fornisce quindi un client per Mac "GrassCall_v.6.10.dmg" [VirusTotal] o un client per Windows "GrassCall.exe" [VirusTotal]. Una volta inserito il codice corretto, entrambe le app installano un info stealer, come Rhadamanthys (su Windows), trojan di accesso remoto (RAT) o altri malware. Su Mac, viene installato il malware Atomic (AMOS) Stealer.
Una volta installato, il virus raccoglie indirizzi di wallet, cookie di autenticazione e password memorizzati nel browser online e nel portachiavi Apple. Le informazioni rubate vengono caricate su un server e pubblicate sui canali Telegram di proprietà dei malintenzionati.
Se viene trovato un portafoglio, gli hacker utilizzano un metodo di forza bruta per decifrare le password e prosciugare i beni dell'utente. Da questi beni, gli hacker pagano l'utente che ha indotto la vittima ignara a scaricare l'app dannosa.
Secondo le informazioni di pagamento rese pubbliche, i membri di Crazy Evil guadagnano apparentemente decine di migliaia di dollari per vittima.
Diversi utenti hanno raccontato le loro esperienze dopo aver inviato la propria candidatura a questi annunci di lavoro truffaldini. Cristian Ghita, un utente LinkedIn , ha scritto sulla piattaforma: "Sembrava tutto legittimo da quasi ogni angolazione. Persino lo strumento di videoconferenza aveva una presenza online quasi credibile".
Il ricercatore di sicurezza informatica Gonjxa ha anche dent app di meeting sospette chiamate Gatherum e Vibe Call. Gatherum è stata utilizzata in una precedente campagna da un sottogruppo di Crazy Evil chiamato "Kevland". È interessante notare che il marchio di entrambe le app è praticamente identico dent GrassCall. Ora, i truffatori sono passati alla loro nuova campagna con Vibe Call, che attualmente circola tra i candidati di Web3.
In risposta all'attenzione che questo attacco ha ricevuto online, gli annunci di lavoro di Chain Seeker sarebbero stati rimossi dalla maggior parte delle bacheche di lavoro.
I risultati di ricerca di LinkedIn non restituiscono più annunci di lavoro collegati a Chainseeker.io. Allo stesso tempo, il suo sito web è stato segnalato nei database della community come sospetto. Inoltre, tutti gli account LinkedIn dei dipendenti dell'azienda sono stati eliminati. Si consiglia agli utenti che hanno già interagito con truffatori o installato app sospette sui propri dispositivi di modificare password e token di autenticazione e di spostare le proprie criptovalute su nuovi wallet come misura precauzionale. Si consiglia inoltre di attivare l'autenticazione a due fattori tramite un'app di autenticazione su tutti i siti web che supportano questa funzionalità.
