- Специальный корреспондент
Поиск работы превратился в игру на деньги.
Киберпреступники организовали новую мошенническую кампанию, нацеленную на соискателей работы в сфере Web3. Злоумышленники организовывают фейковые собеседования с помощью вредоносного приложения GrassCall, которое устанавливает инфостилер для кражи данных и криптовалюты жертв.
Атака затронула сотни людей, а некоторые из них потеряли абсолютно все средства. В специально созданной группе Telegram пострадавшие обсуждают инцидент и помогают друг другу удалить вредоносное ПО с устройств на Windows и macOS.
Кампания организована группой Crazy Evil, специализирующейся на социальной инженерии. Хакеры маскируют вредоносное ПО под легитимные инструменты и распространяют его среди пользователей криптовалютного рынка. Ранее группа уже использовала схожие методы, продвигая поддельные игры и вакансии.
На этот раз мошенники создали фиктивную компанию ChainSeeker.io с сайтом и профилями в X * и LinkedIn . Мошенники размещали преиум-объявления о вакансиях на популярных платформах – LinkedIn , WellFound и CryptoJobsList. После отклика кандидатам отправляли приглашение на интервью, а затем предлагали связаться с «маркетинговым директором» компании через Telegram.
Фейковые вакансии ChainSeeker.io и сообщение соискателю с предложением установить программу для видеозвонков (G0njxa)
Во время переписки жертве предлагали загрузить программу для видеозвонков GrassCall с сайта grasscall[.]net, представляя приложение как необходимый инструмент для проведения собеседования. В зависимости от операционной системы предлагались разные версии – EXE для Windows и DMG для macOS. После установки на устройство загружалось вредоносное ПО, включая RAT-троян и инфостилеры Rhadamanthys или Atomic Stealer (AMOS).
Программа собирала файлы, данные криптокошельков, пароли из Связки ключей Apple и данные авторизации из браузеров. Полученная информация передавалась на серверы злоумышленников, после чего участники схемы получали выплаты за каждый успешный взлом. После обнаружения мошенничества CryptoJobsList удалил объявления ChainSeeker и предупредил всех откликнувшихся о возможной угрозе. Сайт GrassCall был закрыт, но угроза остаётся актуальной, поскольку преступники могут запустить новую кампанию под другим именем.
Исследователь кибербезопасности g0njxa , который отслеживал Crazy Evil, сообщил, что сайт GrassCall является клоном сайта Gatherum, который использовался в предыдущей кампании группы. По словам g0njxa, эти сайты используются как часть атак социальной инженерии, проводимых подгруппой Crazy Evil, известной как « kevland ».
По данным g0njxa, информация о платежах для участников Crazy Evil общедоступна в Telegram, из чего следует, что группа может зарабатывать десятки, если не сотни тысяч долларов за каждую жертву.
Crazy Evil поделилась новым платежом от жертвы (G0njxa)
Пострадавшим рекомендуется срочно сменить пароли, удалить вредоносное ПО и проверить устройства на наличие следов заражения. Специалисты советуют с осторожностью относиться к предложениям работы, особенно в сфере криптовалют, и избегать загрузки неизвестных программ.
* Социальная сеть запрещена на территории Российской Федерации.
Киберпреступники организовали новую мошенническую кампанию, нацеленную на соискателей работы в сфере Web3. Злоумышленники организовывают фейковые собеседования с помощью вредоносного приложения GrassCall, которое устанавливает инфостилер для кражи данных и криптовалюты жертв.
Атака затронула сотни людей, а некоторые из них потеряли абсолютно все средства. В специально созданной группе Telegram пострадавшие обсуждают инцидент и помогают друг другу удалить вредоносное ПО с устройств на Windows и macOS.
Кампания организована группой Crazy Evil, специализирующейся на социальной инженерии. Хакеры маскируют вредоносное ПО под легитимные инструменты и распространяют его среди пользователей криптовалютного рынка. Ранее группа уже использовала схожие методы, продвигая поддельные игры и вакансии.
На этот раз мошенники создали фиктивную компанию ChainSeeker.io с сайтом и профилями в X * и LinkedIn . Мошенники размещали преиум-объявления о вакансиях на популярных платформах – LinkedIn , WellFound и CryptoJobsList. После отклика кандидатам отправляли приглашение на интервью, а затем предлагали связаться с «маркетинговым директором» компании через Telegram.
Фейковые вакансии ChainSeeker.io и сообщение соискателю с предложением установить программу для видеозвонков (G0njxa)
Во время переписки жертве предлагали загрузить программу для видеозвонков GrassCall с сайта grasscall[.]net, представляя приложение как необходимый инструмент для проведения собеседования. В зависимости от операционной системы предлагались разные версии – EXE для Windows и DMG для macOS. После установки на устройство загружалось вредоносное ПО, включая RAT-троян и инфостилеры Rhadamanthys или Atomic Stealer (AMOS).
Программа собирала файлы, данные криптокошельков, пароли из Связки ключей Apple и данные авторизации из браузеров. Полученная информация передавалась на серверы злоумышленников, после чего участники схемы получали выплаты за каждый успешный взлом. После обнаружения мошенничества CryptoJobsList удалил объявления ChainSeeker и предупредил всех откликнувшихся о возможной угрозе. Сайт GrassCall был закрыт, но угроза остаётся актуальной, поскольку преступники могут запустить новую кампанию под другим именем.
Исследователь кибербезопасности g0njxa , который отслеживал Crazy Evil, сообщил, что сайт GrassCall является клоном сайта Gatherum, который использовался в предыдущей кампании группы. По словам g0njxa, эти сайты используются как часть атак социальной инженерии, проводимых подгруппой Crazy Evil, известной как « kevland ».
По данным g0njxa, информация о платежах для участников Crazy Evil общедоступна в Telegram, из чего следует, что группа может зарабатывать десятки, если не сотни тысяч долларов за каждую жертву.
Crazy Evil поделилась новым платежом от жертвы (G0njxa)
Пострадавшим рекомендуется срочно сменить пароли, удалить вредоносное ПО и проверить устройства на наличие следов заражения. Специалисты советуют с осторожностью относиться к предложениям работы, особенно в сфере криптовалют, и избегать загрузки неизвестных программ.
* Социальная сеть запрещена на территории Российской Федерации.
