Hackers russos espalham malware de grama para drenar carteiras criptográficas por meio de postagens falsas de emprego

Como parte de uma campanha de engenharia social, os hackers estão enviando ofertas falsas de emprego a candidatos a emprego no espaço da Web3 com intenções maliciosas. Um aplicativo de reunião duvidoso chamado 'GrassCall' foi recentemente usado para espalhar malware que drena as carteiras criptográficas do usuário.

A fraude é supostamente realizada por uma equipe de hackers russos conhecida como "maluco maluco". Esse grupo de cibercriminosos é especializado em ataques de engenharia social que levam os usuários a instalar o software infectado em seus PCs Mac e Windows.

Crazy Evil geralmente tem como alvo as pessoas no espaço criptográfico, onde promovem oportunidades falsas de emprego e jogos por meio de vários sites de mídia social. Uma empresa de segurança cibernética, registrou Future , disse que conectou "mais de dez golpes ativos nas mídias sociais" ao maluco maluco.

Os hackers postaram empregos falsos para uma empresa falsa chamada ChelaSeeker.io

Mais recentemente, surgiram relatos de outra empresa falsa de fraude. Desta vez, a empresa foi chamada Charenseeker.io, de acordo com um usuário X.

Segundo os relatórios , os atores de ameaças criaram perfis falsos da empresa para o ChainSeeker.io no LinkedIn, onde estão enviando listagens de empregos premium. Outros quadros de empregos populares, onde a listagem falsa foi vista incluem Cryptojoblist e bem -acordados.

Todos aqueles que se inscreveram nos empregos foram contatados por e -mail, o que os instruiu a entrar em contato com o chefe de marketing da empresa no Telegram. 

O chefe solicitaria que o usuário baixasse um aplicativo de chamada de vídeo chamado 'GrassCall' de um site agora excluído. Dependendo do navegador do usuário, o site oferece a eles um cliente Mac ou Windows.

Depois de baixar o aplicativo, os usuários são solicitados a inserir um código compartilhado pelo CMO no bate -papo do Telegram. O site fornece um MAC “GrassCall_V.6.10.dmg” [Virustottal] Cliente ou um cliente Windows “GrassCall.exe” [Virustotal] Client. Depois que o código correto é inserido, os dois aplicativos instalam um ladrão de informações, como Rhadamanthys (no Windows), Trojans de acesso remoto (ratos) ou outros malware. Nos Macs, o malware atômico (AMOS) é instalado.

Uma vez instalado, o vírus coleta endereços da carteira, cookies de autenticação e senhas armazenadas no navegador on -line e no chaveiro da Apple. As informações roubadas são enviadas para um servidor e são publicadas nos canais de telegrama de propriedade dos atores mal -intencionados. 

Se uma carteira for encontrada, os hackers usam um método de força bruta para quebrar as senhas e drenar os ativos do usuário. A partir desses ativos, os hackers pagam o usuário que fez a vítima desavisada baixar o aplicativo malicioso.

De acordo com informações de pagamento divulgadas publicamente, os membros do Crazy Evil aparentemente ganham dezenas de milhares de dólares por vítima.

Vários usuários relataram suas experiências após se inscrever nessas postagens de emprego. Cristian Ghita, um usuário do LinkedIn , publicado na plataforma: “Parecia legítimo de quase todos os ângulos. Até a ferramenta de videoconferência tinha uma presença online quase crível. ”

Os hackers teriam mudado para uma nova campanha de engenharia social

O pesquisador de segurança cibernética, Gonjxa , também prejudicou dent aplicativos de reunião duvidosa chamada Gatherum e Vibe Call. O Gatherum foi usado em campanha anterior por um subgrupo de maluco do louco chamado "Kevland". Curiosamente, a marca de ambos os aplicativos é praticamente dent a Grasscall. Agora, os golpistas passaram a sua nova campanha com a Vibe Call, que atualmente está sendo divulgada entre os candidatos a emprego da Web3.

Em resposta à atenção que esse ataque recebeu on -line, as publicações de empregos de buscador de cadeias foram agora supostamente derrubadas pela maioria dos quadros de emprego. 

Os resultados da pesquisa do LinkedIn não retornam mais nenhuma postagem de trabalho vinculada ao ChelaSeeker.io. Ao mesmo tempo, seu site foi sinalizado nos bancos de dados da comunidade por suspeitar. Além disso, as contas do LinkedIn dos funcionários da empresa foram excluídas. Os usuários que já interagiram com golpistas ou instalaram aplicativos suspeitos em seus dispositivos são aconselhados a alterar suas senhas e tokens de autenticação e mover sua criptografia para carteiras frescas como medida de precaução. Também é recomendável ativar a autenticação de dois fatores por meio de um aplicativo de autenticação em todos os sites que suportam esse recurso.

Academia Cryptopolitan: Cansado de balanços de mercado? Saiba como DeFi pode ajudá -lo a criar renda passiva constante. Registre -se agora