Поделиться
Мошенники научились обчищать криптокошельки под предлогом собеседований о работе
Русскоязычные киберзлоумышленники создали мнимую компанию и под видом найма распространяют вредоносное ПО, которое обчищает криптокошельки жертв.
Зона риска
Люди, ищущие работу в сфере Web3, оказались в прицеле продвинутой мошеннической кампании. На данный момент счет жертвам идет на сотни, и как минимум часть пострадавших лишились содержимого своих криптокошельков.
В центре кампании - вредоносное приложение GrassCall, которое имитирует средство для проведения дистанционных собеседований, но на деле устанавливает вредоносное ПО.
Как пишет издание Bleeping Computer, кампанию осуществляли русскоязычные злоумышленники, известные как Crazy Evil. Судя по всему, они работают по партнерской схеме, оставляя социальную инженерию «подрядчикам» и выплачивая тем вознаграждение.
Поздравляем, вы наш кандидат
Предлогом для установки GrassCall является собеседование о вакансии; поддельные объявления о работе злоумышленники распространяют через социальные сети.
По данным Bleeping Computer, злоумышленники создали весьма убедительную поддельную компанию, у которой есть свой сайт, а также профили в социальных сетях, - «компания» называется ChainSeeker.io.
Злоумышленники также проплатили премиальные объявления о работе в профессиональных ресурсах (в т.ч. WellFound и CryptoJobsList). В числе предлагаемых вакансий - менеджер социальных медиа, NFT-художник, аналитик блокчейна и даже директор по маркетингу.
Тем, кто откликался на эти объявления, присылали письмо с предложением об онлайн-собеседовании с действующим директором по маркетингу, для чего предварительно необходимо было связаться с ним через Telegram.
И уже там жертвам присылали ссылку на поддельное приложение для видеоконференций.
Велосипед изобретать не стали
Эксперт по кибербезопасности g0njxa, отслеживающий деятельность Crazy Evil, отметил, что сайт GrassCall (grasscall.net) - это клон другого сайта, «Gatherum», которым те же злоумышленники пользовались в ходе предшествовавшей кампании.
Gatherum выдавали за «усиленное искусственным интеллектом ПО для виртуальных конференций». Для него был даже создан отдельный блог на ресурсе Medium.com, контент для которого генерировал, действительно, искусственный интеллект.
Что касается GrassCall, то вредоносное содержимое, устанавливаемое жертве, зависит от операционной системы.
Если это Windows, то жертва получает файл GrassCall.exe, который содержит троянец для удаленного доступа (RAT) и инфостилер (ПО для кражи данных), такой как Rhadamanthys.
Если это Mac, то скачать предлагается файл GrassCall_v.6.10.dmg, внутри которого скрывается инфостилер Atomic/AMOS.
Инфостилеры обладают функциями кейлоггера и средствами перехвата паролей и файлов cookie, связанных с аутентификацией.
При обнаружении криптокошелька в системе предпринимается попытка взломать его пароль посредством брутфорса.
Выведенные данные загружаются на серверы злоумышленников, а оттуда - и в каналы Crazy Evil в Telegram.
Мы не играем в прятки
Если удалось опустошить криптокошельки жертвы, руководители Crazy Evil выплачивают вознаграждение непосредственно тому, кто смог убедить жертву установить себе мнимое приложение.
Причем реклама всей этой деятельности ведется в Telegram открыто, с указанием сумм выплат, и эти суммы довольно внушительны - десятки и даже сотни тысяч долларов за каждую жертву.
«Судя по всему, злоумышленники ведут довольно прибыльный бизнес, даже если предположить, что в действительности цифры выплат намного ниже» , - считает Анастасия Мельникова, директор по информационной безопасности компании SEQ. «С другой стороны, их самоуверенность и наглость в результате выйдет им боком: рано или поздно они совершат ошибку, которая позволит их найти и предать суду» .
К настоящему моменту злоумышленники, обнаружив, что информация об их деятельности стала публичной, свернули операцию и закрыли свои ресурсы. Но смело можно ожидать ее возобновления под другой личиной в самом ближайшем будущем.
Поделиться
Короткая ссылка
