Nell'ambito di una campagna di ingegneria sociale, gli hacker avrebbero inviato false offerte di lavoro a persone in cerca di lavoro nello spazio web3 con intenzioni dannose. Una dubbia app per riunioni chiamata "GrassCall" è stata recentemente utilizzata per diffondere malware che prosciuga i portafogli crittografici dell'utente.
La frode sarebbe stata portata avanti da un team di hacker russo noto come “Crazy Evil”. Questo gruppo di criminali informatici è specializzato in attacchi di ingegneria sociale che inducono gli utenti a installare software infetto sui propri Mac e PC Windows.
Crazy Evil prende di mira comunemente le persone nel settore delle criptovalute, dove promuovono opportunità di lavoro e giochi falsi tramite vari siti Web di social media. Una società di sicurezza informatica, Recorded Future , ha affermato di aver collegato “oltre dieci truffe attive sui social media” a Crazy Evil.
Gli hacker hanno pubblicato lavori falsi per una società fittizia chiamata ChainSeeker.io
Più recentemente, sono emerse segnalazioni di un'altra falsa società di truffa. Questa volta, secondo un utente X , la società si chiamava ChainSeeker.io.
Secondo i rapporti , gli autori delle minacce hanno creato falsi profili aziendali per ChainSeeker.io su LinkedIn, dove hanno inviato annunci di lavoro premium. Altre bacheche di lavoro popolari in cui è stato individuato l'elenco falso includono CryptoJobList e WellFound.
Tutti coloro che hanno presentato domanda per il lavoro sono stati contattati via e-mail, che li ha istruiti a contattare il responsabile marketing dell'azienda su Telegram.
Il capo richiederebbe quindi all'utente di scaricare un'app di videochiamata denominata "GrassCall" da un sito Web ora eliminato. A seconda del browser dell'utente, il sito web offrirà loro un client Mac o Windows.
Dopo aver scaricato l'app, agli utenti viene chiesto di inserire un codice condiviso dal CMO nella chat di Telegram. Il sito Web fornisce quindi un client Mac “GrassCall_v.6.10.dmg” [VirusTotal] o un client Windows “GrassCall.exe” [VirusTotal]. Una volta inserito il codice corretto, entrambe le app installano un ladro di informazioni, come Rhadamanthys (su Windows), trojan di accesso remoto (RAT) o altro malware. Sui Mac viene installato il malware Atomic (AMOS) Stealer.
Una volta installato, il virus raccoglie indirizzi di portafogli, cookie di autenticazione e password archiviate nel browser online e nel portachiavi Apple. Le informazioni rubate vengono caricate su un server e pubblicate sui canali Telegram di proprietà degli attori malintenzionati.
Se viene trovato un portafoglio, gli hacker utilizzano un metodo di forza bruta per violare le password e prosciugare le risorse dell'utente. Con questi beni gli hacker ripagano l'utente che ha fatto scaricare l'app dannosa alla vittima ignara.
Secondo le informazioni di pagamento rilasciate pubblicamente, i membri di Crazy Evil guadagnano decine di migliaia di dollari per vittima.
Vari utenti hanno raccontato le loro esperienze dopo essersi candidati a tali annunci di lavoro truffa. Cristian Ghita, un utente LinkedIn , ha pubblicato sulla piattaforma: “Sembrava legittimo da quasi tutti i punti di vista. Anche lo strumento di videoconferenza aveva una presenza online quasi credibile."
Secondo quanto riferito, gli hacker sono passati a una nuova campagna di ingegneria sociale
Il ricercatore di sicurezza informatica, Gonjxa , ha anche identificato app per riunioni dubbie chiamate Gatherum e VibeCall. Gatherum è stato utilizzato nella campagna precedente da un sottogruppo di Crazy Evil chiamato "Kevland". È interessante notare che il marchio di entrambe le app è praticamente identico a GrassCall. Ora i truffatori sono passati alla loro nuova campagna con VibeCall, che attualmente viene diffusa tra le persone in cerca di lavoro Web3.
In risposta all'attenzione che questo attacco ha ricevuto online, gli annunci di lavoro di Chain Seeker sarebbero stati rimossi dalla maggior parte delle bacheche di lavoro.
I risultati di ricerca di LinkedIn non restituiscono più alcun annuncio di lavoro collegato a Chainseeker.io. Allo stesso tempo, il suo sito web è stato segnalato nei database della comunità perché sospetto. Inoltre, gli account LinkedIn dei dipendenti dell'azienda sono stati tutti cancellati. Si consiglia agli utenti che hanno già interagito con truffatori o installato app sospette sui propri dispositivi di modificare le password e i token di autenticazione e di spostare le proprie criptovalute su nuovi portafogli come misura precauzionale. Si consiglia inoltre di attivare l'autenticazione a due fattori tramite un'app di autenticazione su tutti i siti Web che supportano questa funzionalità.
Cryptopolitan Academy: vuoi far crescere i tuoi soldi nel 2025? Scopri come farlo con la DeFi nella nostra prossima webclass. Salva il tuo posto