Российские хакеры распространили вредоносное ПО GrassCall, чтобы опустошать криптовалютные кошельки с помощью фейковых объявлений о вакансиях

В рамках кампании социальной инженерии хакеры, как сообщается, рассылают соискателям работы в сфере Web3 поддельные предложения о работе со злым умыслом. Недавно сомнительное приложение для проведения совещаний под названием GrassCall было использовано для распространения вредоносного ПО, которое опустошает криптовалютные кошельки пользователей.

Мошенничество предположительно осуществляется российской хакерской группировкой, известной как «Crazy Evil». Эта группа киберпреступников специализируется на методах социальной инженерии, которые обманом заставляют пользователей устанавливать зараженное программное обеспечение на свои компьютеры Mac и Windows. 

Мошенники из Crazy Evil обычно нацеливаются на людей в криптопространстве, предлагая фейковые вакансии и игры через различные социальные сети. Компания по кибербезопасности Recorded Futureзаявила, что связала «более десяти активных мошеннических схем в социальных сетях» с Crazy Evil.

Хакеры разместили фейковые вакансии в фиктивной компании под названием ChainSeeker.io

Совсем недавно сообщения , компания называлась ChainSeeker.io пользователя X. 

Согласно сообщениям ,злоумышленники создали поддельные профили компании ChainSeeker.io на LinkedIn, где рассылали платные объявления о вакансиях. Среди других популярных сайтов по поиску работы, где были обнаружены поддельные объявления, — CryptoJobList и WellFound. 

Всем, кто подал заявки на вакансии, было отправлено электронное письмо с инструкцией связаться с руководителем отдела маркетинга компании в Telegram. 

Затем начальник просил пользователя загрузить приложение для видеозвонков под названием «GrassCall» с ныне удалённого веб-сайта. В зависимости от браузера пользователя, веб-сайт предлагал клиент для Mac или Windows.

После загрузки приложения пользователям предлагается ввести код, предоставленный директором по маркетингу в чате Telegram. Затем веб-сайт предоставляет либо клиент для Mac «GrassCall_v.6.10.dmg» [VirusTotal], либо клиент для Windows «GrassCall.exe» [VirusTotal]. После ввода правильного кода оба приложения устанавливают вредоносную программу, например, Rhadamanthys (в Windows), трояны удаленного доступа (RAT) или другое вредоносное ПО. На компьютерах Mac устанавливается вредоносная программа Atomic (AMOS) Stealer.

После установки вирус собирает адреса кошельков, файлы cookie аутентификации и пароли, хранящиеся в онлайн-браузере и Apple Keychain. Украденная информация загружается на сервер и публикуется в Telegram-каналах, принадлежащих злоумышленникам. 

Если кошелек найден, хакеры используют метод перебора для взлома паролей и опустошения активов пользователя. Из этих средств хакеры выплачивают деньги пользователю, который заставил ничего не подозревающую жертву загрузить вредоносное приложение.

Согласно опубликованной информации о выплатах, члены Crazy Evil, по всей видимости, зарабатывают десятки тысяч долларов с каждой жертвы.

Многие пользователи поделились своим опытом после подачи заявок на подобные мошеннические вакансии. Кристиан Гита, пользователь LinkedIn, написал на платформе: «Почти со всех сторон все выглядело правдоподобно. Даже инструмент для видеоконференций имел почти убедительный онлайн-видимость».

По имеющимся данным, хакеры перешли к новой кампании по социальной инженерии

Исследователь в области кибербезопасности Гонджатакже выявилdentприложения для проведения онлайн-встреч под названиями Gatherum и VibeCall. Gatherum использовался в предыдущей кампании подгруппой Crazy Evil под названием «Kevland». Интересно, что брендинг обоих приложений практически идентиченdent. Теперь мошенники перешли к новой кампании с VibeCall, которое в настоящее время распространяется среди соискателей работы в сфере Web3.

В ответ на внимание, которое привлекло это нападение в интернете, объявления о вакансиях Chain Seeker, как сообщается, были удалены большинством сайтов по поиску работы. 

В результатах поиска LinkedIn больше не отображаются вакансии, связанные с Chainseeker.io. В то же время, сайт компании был помечен в базах данных сообщества как подозрительный. Кроме того, все аккаунты сотрудников компании в LinkedIn были удалены. Пользователям, которые уже взаимодействовали с мошенниками или установили подозрительные приложения на свои устройства, рекомендуется в качестве меры предосторожности сменить пароли и токены аутентификации, а также перевести криптовалюту в новые кошельки. Также рекомендуется включить двухфакторную аутентификацию через приложение для аутентификации на всех сайтах, поддерживающих эту функцию.