Como parte de uma campanha de engenharia social, hackers estariam enviando ofertas de emprego falsas para candidatos a vagas na área da web3 com intenções maliciosas. Um aplicativo de reuniões suspeito chamado 'GrassCall' foi recentemente usado para disseminar malware que drena as carteiras de criptomoedas dos usuários.
A fraude é supostamente realizada por uma equipe de hackers russos conhecida como "Crazy Evil". Esse grupo de cibercriminosos se especializa em ataques de engenharia social que enganam os usuários para que instalem softwares infectados em seus computadores Mac e Windows.
O grupo Crazy Evil costuma ter como alvo pessoas no universo das criptomoedas, onde promove falsas oportunidades de emprego e jogos por meio de diversas redes sociais. A empresa de cibersegurança Recorded Future afirmou ter identificado "mais de dez golpes ativos em redes sociais" atribuídos ao Crazy Evil.
Hackers publicaram vagas de emprego falsas para uma empresa fraudulenta chamada ChainSeeker.io
Mais recentemente, relatos de outra empresa fraudulenta. Desta vez, a empresa chamava-se ChainSeeker.io, de acordo com um usuário do X.
Segundo relatos , agentes maliciosos criaram perfis falsos da empresa ChainSeeker.io no LinkedIn, onde vêm divulgando vagas de emprego premium. Outros sites de vagas populares onde o anúncio falso foi encontrado incluem CryptoJobList e WellFound.
Todos os candidatos às vagas foram contatados por e-mail, com instruções para entrar em contato com o chefe de marketing da empresa pelo Telegram.
O chefe então solicitava ao usuário que baixasse um aplicativo de videochamadas chamado 'GrassCall' de um site que já foi desativado. Dependendo do navegador do usuário, o site oferecia um cliente para Mac ou Windows.
Após baixar o aplicativo, os usuários são solicitados a inserir um código compartilhado pelo CMO no chat do Telegram. O site então fornece um cliente para Mac “GrassCall_v.6.10.dmg” [VirusTotal] ou um cliente para Windows “GrassCall.exe” [VirusTotal]. Assim que o código correto é inserido, ambos os aplicativos instalam um ladrão de informações, como o Rhadamanthys (no Windows), trojans de acesso remoto (RATs) ou outros malwares. Em Macs, o malware Atomic (AMOS) Stealer é instalado.
Uma vez instalado, o vírus coleta endereços de carteiras digitais, cookies de autenticação e senhas armazenadas no navegador e no Keychain da Apple. As informações roubadas são enviadas para um servidor e publicadas em canais do Telegram pertencentes aos criminosos.
Caso encontrem uma carteira digital, os hackers usam um método de força bruta para quebrar as senhas e drenar os fundos do usuário. Com esses fundos, os hackers pagam o usuário que fez a vítima desavisada baixar o aplicativo malicioso.
Segundo informações de pagamento divulgadas publicamente, os membros do Crazy Evil aparentemente ganham dezenas de milhares de dólares por vítima.
Diversos usuários relataram suas experiências após se candidatarem a vagas de emprego fraudulentas. Cristian Ghita, um usuário do LinkedIn , publicou na plataforma: “Parecia legítimo em quase todos os aspectos. Até mesmo a ferramenta de videoconferência tinha uma presença online quase convincente.”
O pesquisador de cibersegurança Gonjxa também identificou dent de reunião suspeitos chamados Gatherum e Vibe Call. O Gatherum foi usado em uma campanha anterior por um subgrupo do Crazy Evil chamado "Kevland". Curiosamente, a identidade visual de ambos os aplicativos é praticamente idêntica dent do GrassCall. Agora, os golpistas partiram para uma nova campanha com o Vibe Call, que está sendo distribuído entre pessoas em busca de emprego na área de Web3.
Em resposta à atenção que este ataque recebeu online, os anúncios de emprego da Chain Seeker foram, segundo relatos, removidos da maioria dos sites de emprego.
Os resultados de busca do LinkedIn não retornam mais nenhuma vaga de emprego relacionada à Chainseeker.io. Ao mesmo tempo, o site da empresa foi sinalizado em bancos de dados da comunidade por ser suspeito. Além disso, as contas do LinkedIn de todos os funcionários da empresa foram excluídas. Usuários que já interagiram com golpistas ou instalaram aplicativos suspeitos em seus dispositivos são aconselhados a alterar suas senhas e tokens de autenticação e transferir suas criptomoedas para novas carteiras como medida de precaução. Também é recomendável ativar a autenticação de dois fatores por meio de um aplicativo de autenticação em todos os sites que oferecem suporte a esse recurso.
