Киберпреступники организовали новую мошенническую кампанию, нацеленную на соискателей работы в сфере Web3. Злоумышленники организовывают фейковые собеседования с помощью вредоносного приложения GrassCall, которое устанавливает инфостилер для кражи данных и криптовалюты жертв.
Атака затронула сотни людей, а некоторые из них потеряли абсолютно все средства. В специально созданной https://t.me/+99OpvL2B7Vo2Mjcy пострадавшие обсуждают https://www.ptsecurity.com/ru-ru/products/pt-ipc/и помогают друг другу удалить вредоносное ПО с устройств на Windows и macOS.
Кампания организована группой Crazy Evil, специализирующейся на социальной инженерии. Хакеры маскируют вредоносное ПО под легитимные инструменты и распространяют его среди пользователей криптовалютного рынка. Ранее группа уже использовала схожие методы, продвигая поддельные игры и вакансии.
На этот раз мошенники https://x.com/choykwok/status/1893972018405527594фиктивную компанию ChainSeeker.io с сайтом и профилями в X * и LinkedIn . Мошенники размещали преиум-объявления о вакансиях на популярных платформах – https://www.linkedin.com/jobs/search..._company_posts, WellFound и CryptoJobsList. После отклика кандидатам отправляли приглашение на интервью, а затем предлагали связаться с «маркетинговым директором» компании через Telegram.
https://www.securitylab.ru/upload/me...ac272czzac.png
Фейковые вакансии ChainSeeker.io и сообщение соискателю с предложением установить программу для видеозвонков (G0njxa)
Во время переписки жертве предлагали загрузить программу для видеозвонков GrassCall с сайта grasscall[.]net, представляя приложение как необходимый инструмент для проведения собеседования. В зависимости от операционной системы предлагались разные версии – EXE для Windows и DMG для macOS. После установки на устройство загружалось вредоносное ПО, включая RAT-троян и инфостилеры Rhadamanthys или https://www.securitylab.lat/news/550925.php (AMOS).
Программа собирала файлы, данные криптокошельков, пароли из Связки ключей Apple и данные авторизации из браузеров. Полученная информация передавалась на серверы злоумышленников, после чего участники схемы получали выплаты за каждый успешный взлом. После обнаружения мошенничества CryptoJobsList удалил объявления ChainSeeker и предупредил всех откликнувшихся о возможной угрозе. Сайт GrassCall был закрыт, но https://www.ptsecurity.com/ru-ru/res...y-vs-zashhita/остаётся актуальной, поскольку преступники могут запустить новую кампанию под другим именем.
Исследователь кибербезопасности https://x.com/g0njxa, который отслеживал Crazy Evil, сообщил, что сайт GrassCall является клоном сайта Gatherum, который использовался в предыдущей кампании группы. По словам g0njxa, эти сайты используются как часть атак социальной инженерии, проводимых подгруппой Crazy Evil, известной как « kevland ».
По данным g0njxa, информация о платежах для участников Crazy Evil общедоступна в Telegram, из чего следует, что группа может зарабатывать десятки, если не сотни тысяч долларов за каждую жертву.
https://www.securitylab.ru/upload/me...evakzqhtk7.png
Crazy Evil поделилась новым платежом от жертвы (G0njxa)
Пострадавшим рекомендуется срочно сменить пароли, удалить вредоносное ПО и проверить устройства на наличие следов заражения. Специалисты советуют с осторожностью относиться к предложениям работы, особенно в сфере криптовалют, и избегать загрузки неизвестных программ.
https://www.securitylab.ru/news/556835.php