据报道,黑客正利用虚假招聘信息,通过社交工程攻击网络3.0领域的求职者,进行恶意诈骗。一款名为“GrassCall”的可疑会议应用近期被用于传播恶意软件,窃取用户加密货币钱包中的资金。
据称,这起诈骗事件是由一个名为“疯狂邪恶”(Crazy Evil)的俄罗斯黑客组织实施的。这个网络犯罪团伙专门从事社会工程攻击,诱骗用户在其Mac和Windows电脑上安装受感染的软件。
Crazy Evil 经常以加密货币领域的用户为目标,通过各种社交媒体网站推广虚假的工作机会和游戏。网络安全公司Recorded Future表示,他们已将“十多个活跃在社交媒体上的诈骗活动”与 Crazy Evil 联系起来。
黑客为一家名为 ChainSeeker.io 的虚假公司发布了虚假招聘信息。
最近,又有报道X用户称,这次的公司名为ChainSeeker.io 。
据报道,一些不法分子在领英上为 ChainSeeker.io 创建了虚假公司简介,并在上面发布了高薪职位招聘信息。其他一些热门招聘网站,例如 CryptoJobList 和 WellFound,也发现了类似的虚假招聘信息。
所有申请这些职位的人都收到了电子邮件,邮件指示他们通过 Telegram 联系公司的市场营销主管。
然后,负责人会要求用户从一个现已删除的网站下载一款名为“GrassCall”的视频通话应用程序。根据用户使用的浏览器,该网站会提供Mac或Windows客户端。
用户下载应用后,会被要求输入首席营销官在 Telegram 聊天中分享的验证码。之后,网站会提供一个 Mac 客户端(名为“GrassCall_v.6.10.dmg”,已通过 VirusTotal 检测)或一个 Windows 客户端(名为“GrassCall.exe”,已通过 VirusTotal 检测)。输入正确的验证码后,这两个应用都会安装信息窃取程序,例如 Windows 系统上的 Rhadamanthys、远程访问木马 (RAT) 或其他恶意软件。在 Mac 系统上,则会安装 Atomic (AMOS) Stealer 恶意软件。
一旦安装,该病毒会收集存储在网络浏览器和苹果钥匙串中的钱包地址、身份验证 cookie 和密码。窃取的信息会被上传到服务器,并发布到恶意行为者拥有的 Telegram 频道上。
如果找到用户的钱包,黑客会使用暴力破解法破解密码,盗取用户的资产。然后,黑客会用这些资产支付给诱使受害者下载恶意应用程序的用户。
根据公开的付款信息,Crazy Evil 成员显然可以从每个受害者身上赚取数万美元。
许多用户讲述了他们申请此类诈骗招聘信息后的经历。LinkedIn用户在平台上发帖称:“从几乎所有角度来看,它都显得很正规。就连视频会议工具的线上形象也几乎令人信服。”
网络安全研究员Gonjxa还发现了dentGatherum 和Vibe Call 的可疑会议应用程序。Gatherum 曾被 Crazy Evil 的一个名为“Kevland”的小组用于之前的诈骗活动。有趣的是,这两款应用程序的品牌标识几乎dent。现在,诈骗分子又将矛头指向了Vibe Call,这款应用目前正在 Web3 求职者中传播。
鉴于此次攻击事件在网上引起了广泛关注,据报道,Chain Seeker 的招聘信息已被大多数招聘网站撤下。
LinkedIn搜索结果中已不再显示任何与Chainseeker.io相关的招聘信息。同时,该网站已被社区数据库标记为可疑网站。此外,该公司所有员工的LinkedIn账户均已被删除。建议已与诈骗者互动或在设备上安装过可疑应用程序的用户更改密码和身份验证令牌,并将加密货币转移到新的钱包中,以防万一。同时,建议在所有支持此功能的网站上启用双因素身份验证。
