러시아 해커는 가짜 작업 게시물을 통해 암호화 지갑을 배출하기 위해 잔디밭 맬웨어를 퍼뜨립니다.

사회 공학 캠페인의 일환으로 해커는 악의적 인 의도로 Web3 공간의 구직자에게 가짜 구인 제안을 보내고 있다고합니다. 'Grasscall'이라는 모호한 회의 앱은 최근 사용자의 암호 지갑을 배출하는 맬웨어를 전파하는 데 사용되었습니다.

사기는“Crazy Evil”으로 알려진 러시아 해커 팀에 의해 수행 된 것으로 추정됩니다. 이 사이버 범죄자 그룹은 사용자가 Mac 및 Windows PC에 감염된 소프트웨어를 설치하도록하는 사회 공학 공격을 전문으로합니다. 

Crazy Evil은 일반적으로 암호화 공간의 사람들을 대상으로하며 다양한 소셜 미디어 웹 사이트를 통해 가짜 직업 기회와 게임을 홍보합니다. 미래를 기록한 사이버 보안 회사는 “소셜 미디어의 10 개 이상의 활동적인 사기”를 Crazy Evil과 연결했다고 말했다.

해커는 Chainseeker.io라는 가짜 회사에 가짜 일자리를 게시했습니다.

보다 최근에는 보고가 나타났습니다. X 사용자 에 따르면 회사는 Chainseeker.io라고 불렸다 .

보고서 에 따르면 , 위협 행위자는 LinkedIn에서 Chainseeker.io에 대한 가짜 회사 프로필을 만들었으며, 이곳에서 프리미엄 작업 목록을 발송했습니다. 가짜 목록이 발견 된 다른 인기있는 작업 보드로는 Cryptojoblist 및 Follfound가 있습니다.

일자리를 신청 한 모든 사람들은 이메일을 통해 연락을 받았으며, 이로 인해 Telegram의 회사 마케팅 책임자에게 연락하도록 지시했습니다. 

그런 다음 Chief는 사용자에게 현재 삭제 된 웹 사이트에서 'Grasscall'이라는 화상 통화 앱을 다운로드합니다. 사용자의 브라우저에 따라 웹 사이트는 Mac 또는 Windows 클라이언트를 제공합니다.

앱을 다운로드 한 후 사용자는 Telegram Chat에서 CMO가 공유 한 코드를 입력해야합니다. 그런 다음 웹 사이트는 Mac“GrassCall_v.6.10.dmg”[Virustotal] 클라이언트 또는 Windows“GrassCall.exe”클라이언트 [Virustotal] 클라이언트를 제공합니다. 올바른 코드가 입력되면 두 앱은 Rhadamanthys (Windows), 원격 액세스 트로이 목마 (RAT) 또는 기타 맬웨어와 같은 정보 스틸러를 설치합니다. MAC에서 AMOS (Atomic) 스틸러 맬웨어가 설치됩니다.

일단 설치되면 바이러스는 온라인 브라우저 및 Apple Keychain에 저장된 지갑 주소, 인증 쿠키 및 암호를 수집합니다. 도난 정보는 서버에 업로드되어 악의적 인 액터가 소유 한 Telegram 채널에 게시됩니다. 

지갑이 발견되면 해커는 무차별 인력 방법을 사용하여 암호를 깨고 사용자의 자산을 배출합니다. 이러한 자산에서 해커는 의심의 여지가없는 피해자가 악성 앱을 다운로드 한 사용자에게 지불합니다.

공개적으로 공개 된 지불 정보에 따르면, 미친 사악한 회원들은 희생자 당 수만 달러를 벌고 있습니다.

다양한 사용자가 그러한 사기 작업 게시물에 신청 한 후 경험을 이야기했습니다. LinkedIn 사용자 인 Cristian Ghita는 플랫폼에 다음과 같이 게시했습니다.“거의 모든 각도에서 합법적으로 보였습니다. 화상 회의 도구조차도 거의 믿을만한 온라인 존재가있었습니다.”

해커들은 사회 공학 새로운 캠페인으로 이사 한 것으로 알려졌다.

사이버 보안 연구원 인 Gonjxa dent 모호한 회의 앱과 Vibe 도 있습니다 . Gatherum은 이전 캠페인에서“Kevland”라는 소형 사악한 하위 그룹에 의해 사용되었습니다. 흥미롭게도, 두 앱의 브랜딩은 dent . Vibe 사용하여 새로운 캠페인으로 넘어 갔으며 현재 Web3 구직자들 사이에서 배포되고 있습니다.

이 공격에 대한 관심에 따라 온라인으로받은 공격에 따라 체인 구직자의 채용 사업 게시물은 이제 대부분의 작업위원회에 의해 철회 된 것으로 알려졌다. 

LinkedIn 검색 결과는 더 이상 Chainseeker.io에 링크 된 작업 게시물을 반환하지 않습니다. 동시에, 웹 사이트는 의심스러운 커뮤니티 데이터베이스에 표시되었습니다. 또한 회사 직원의 LinkedIn 계정이 모두 삭제되었습니다. 이미 사기꾼과 상호 작용하거나 장치에 의심스러운 앱을 설치 한 사용자는 암호와 인증 토큰을 변경하고 암호화를 예방 조치로 신선한 지갑으로 옮기는 것이 좋습니다. 이 기능을 지원하는 모든 웹 사이트의 인증 앱을 통해 2 단계 인증을 켜는 것이 좋습니다.

-2025 년 DeFi 로 수동적 소득을 얻는 새로운 방법. 자세히 알아보십시오.