해커들이 사회공학적 공격의 일환으로 웹3 플랫폼에서 구직자들에게 악의적인 가짜 채용 공고를 보내는 사례가 보고되고 있습니다. 최근에는 'GrassCall'이라는 의심스러운 미팅 앱이 사용자의 암호화폐 지갑을 털는 악성코드를 유포하는 데 사용되었습니다.
이 사기는 "크레이지 이블"이라는 러시아 해커 팀이 저지른 것으로 알려져 있습니다. 이 사이버 범죄 조직은 사용자를 속여 맥과 윈도우 PC에 악성 소프트웨어를 설치하도록 유도하는 소셜 엔지니어링 공격을 전문으로 합니다.
Crazy Evil은 주로 암호화폐 업계 종사자들을 표적으로 삼아 다양한 소셜 미디어 웹사이트를 통해 가짜 구인 광고와 게임을 홍보합니다. 사이버 보안 회사인 Recorded Future 는 Crazy Evil이 소셜 미디어에서 활발하게 활동하는 "10개 이상의 사기 행위"를 적발했다고 밝혔습니다.
해커들이 ChainSeeker.io라는 가짜 회사를 내세워 허위 구인 광고를 올렸습니다
최근에는 보고가 X 사용자 에 따르면 이번 회사의 이름은 ChainSeeker.io였습니다 .
보도 에 따르면 , 공격자들은 링크드인에 ChainSeeker.io라는 가짜 회사 프로필을 만들어 유료 채용 공고를 게시해 왔습니다. 가짜 공고가 발견된 다른 유명 채용 사이트로는 CryptoJobList와 WellFound가 있습니다.
채용에 지원한 모든 사람들에게 이메일이 발송되었으며, 이메일에는 텔레그램을 통해 회사 마케팅 책임자에게 연락하라는 안내가 포함되어 있었습니다.
그러면 책임자는 사용자에게 현재는 삭제된 웹사이트에서 'GrassCall'이라는 화상 통화 앱을 다운로드하도록 요청했습니다. 사용자의 브라우저에 따라 웹사이트는 Mac 또는 Windows 클라이언트를 제공했습니다.
앱을 다운로드한 후, 사용자는 CMO가 텔레그램 채팅에서 공유한 코드를 입력하라는 요청을 받습니다. 그러면 웹사이트는 Mac용 "GrassCall_v.6.10.dmg" 클라이언트(VirusTotal 기준) 또는 Windows용 "GrassCall.exe" 클라이언트(VirusTotal 기준)를 제공합니다. 올바른 코드를 입력하면 두 앱 모두 정보 탈취 악성 프로그램(예: Windows의 경우 Rhadamanthys, 원격 접속 트로이목마(RAT) 또는 기타 악성 프로그램)을 설치합니다. Mac에서는 Atomic (AMOS) Stealer 악성 프로그램이 설치됩니다.
설치가 완료되면 이 바이러스는 온라인 브라우저와 Apple Keychain에 저장된 지갑 주소, 인증 쿠키 및 비밀번호를 수집합니다. 탈취된 정보는 서버에 업로드되고 악의적인 공격자가 소유한 텔레그램 채널에 게시됩니다.
지갑이 발견되면 해커들은 무차별 대입 공격을 사용하여 비밀번호를 해킹하고 사용자의 자산을 빼돌립니다. 이렇게 얻은 자산으로 해커들은 악성 앱을 다운로드하도록 유도한 사용자에게 돈을 지불합니다.
공개된 지급 정보에 따르면, 크레이지 이블 조직원들은 피해자 한 명당 수만 달러를 벌어들이는 것으로 보입니다.
여러 사용자들이 이러한 사기성 채용 공고에 지원한 후 겪은 경험을 공유했습니다. 링크드인 사용자 는 플랫폼에 "거의 모든 면에서 합법적으로 보였습니다. 화상 회의 도구조차도 온라인상에서 꽤 그럴듯하게 보였습니다."라고 게시했습니다.
사이버 보안 연구원인 Gonjxa는 Gatherum과 Vibe dent 했습니다 . Gatherum은 Crazy Evil의 하위 조직인 "Kevland"가 이전에도 사용했던 앱입니다. 흥미롭게도 두 앱의 브랜드는 GrassCall과 거의 동일합니다 dent Vibe 이용한 새로운 캠페인을 시작했으며 , 이 앱은 현재 Web3 기반 구직자들 사이에서 유포되고 있습니다.
온라인상에서 이 공격에 대한 관심이 집중되자, 체인 시커의 채용 공고는 대부분의 채용 사이트에서 삭제된 것으로 알려졌습니다.
LinkedIn 검색 결과에서 Chainseeker.io와 관련된 채용 공고가 더 이상 나타나지 않습니다. 또한 해당 웹사이트는 커뮤니티 데이터베이스에서 의심스러운 사이트로 분류되었습니다. 더 나아가, 회사 직원들의 LinkedIn 계정도 모두 삭제되었습니다. 사기꾼과 접촉했거나 의심스러운 앱을 설치한 사용자는 예방 조치로 비밀번호와 인증 토큰을 변경하고 암호화폐를 새로운 지갑으로 옮기는 것이 좋습니다. 또한, 2단계 인증을 지원하는 모든 웹사이트에서 인증 앱을 통해 2단계 인증을 활성화하는 것이 권장됩니다.
