Uma recente campanha de engenharia social mirou em candidatos a emprego no espaço Web3 com entrevistas de emprego falsas por meio de um aplicativo malicioso de reuniões chamado "GrassCall", que instala malware de roubo de informações para furtar carteiras de criptomoedas.
Centenas de pessoas foram afetadas pelo golpe, com alguns relatos de carteiras esvaziadas nos ataques.
Um grupo no Telegram foi criado para discutir o ataque e para aqueles impactados ajudarem uns aos outros a remover as infecções de malware de dispositivos Mac e Windows.
A campanha foi conduzida por uma "equipe de traffers" de falantes da língua russa conhecida como Crazy Evil.
Esse grupo realiza ataques de engenharia social para enganar usuários a baixarem software malicioso em seus dispositivos Windows e Mac.
Esse grupo de cibercriminosos é conhecido por mirar usuários no espaço das criptomoedas, onde promovem jogos falsos ou oportunidades de emprego por meio de redes sociais.
Os usuários são enganados a instalar software que implementa malware de roubo de informações nos dispositivos que podem ser usados para furtar senhas, cookies de autenticação e carteiras do computador comprometido.
Em uma conversa com Choy, um profissional de web3 que foi alvo do ataque de engenharia social, foi informado de que os atores de ameaça criaram uma persona online elaborada, consistindo de um site e perfis sociais no X e LinkedIn, onde fingiam ser uma empresa chamada "ChainSeeker.io".
Os atores de ameaça então procederam em postar listagens de empregos premium no LinkedIn, WellFound, e CryptoJobsList, um dos sites de emprego mais populares para carreiras em Web3 e blockchain.
Pessoas que se candidatavam para os empregos recebiam um e-mail contendo um convite para entrevista, onde encontrariam com o Diretor de Marketing.
Os alvos eram instruídos a entrar em contato com o CMO via Telegram para coordenar a reunião.
Quando contatado, o falso CMO diria ao alvo que precisavam baixar um software de reunião por vídeo chamado "GrassCall" usando o site e código inclusos.
O software GrassCall era baixado de "grasscall[.]net" e ofereceria um cliente para Windows ou Mac dependendo do user agent do navegador do visitante.
O pesquisador de cibersegurança g0njxa, que tem rastreado esses atores de ameaça, disse que o site GrassCall é um clone de um site "Gatherum" usado em uma campanha anterior.
O pesquisador diz que esses sites são utilizados como parte de ataques de engenharia social conduzidos por um subgrupo do Crazy Evil conhecido como "kevland", que também é descrito em um relatório da Recorded Future.
"Gatherum é um software de reuniões virtuais auto-proclamado com aprimoramento por IA que é principalmente anunciado em redes sociais (@GatherumAI) e um blog gerado por IA no Medium (medium[.]com/@GatherumApp)," explica um relatório da Recorded Future sobre os criminosos cibernéticos do Crazy Evil.
Traffers atribuídos ao Gatherum recebem um manual para operar o golpe.
Gatherum é gerenciado pela subequipe do Crazy Evil, KEVLAND, rastreada internamente pelo Grupo Insikt como CE-6.
Quando os visitantes tentam baixar o aplicativo GrassCall, serão solicitados a inserir o código compartilhado pelo falso CMO na conversa do Telegram.
Ao inserir o código correto, o site oferecerá um cliente para Windows "GrassCall.exe" [VirusTotal] ou um cliente para Mac "GrassCall_v.6.10.dmg" [VirusTotal].
Quando executados, ambos os programas instalarão malware de roubo de informações ou trojans de acesso remoto (RATs).
Em dispositivos Windows, o falso aplicativo de reunião instalará um RAT junto com um infostealer, como o Rhadamanthys.
Em Macs, instalará o malware Atomic (AMOS) Stealer.
"O rat é usado para criar persistência na máquina, adicionar um keylogger para também roubar senhas e implementar phishing de seeds para as carteiras físicas," explicou G0njxa.
Quando executado, o malware tentará roubar arquivos baseados em palavras-chave, carteiras de criptomoedas, senhas armazenadas no Apple Keychain, e senhas e cookies de autenticação armazenados nos navegadores de internet.
G0njxa disse que as informações roubadas são carregadas para os servidores da operação, e informações sobre o que foi roubado são postadas nos canais do Telegram usados pela empresa de cibercrime.
"Se uma carteira é encontrada, as senhas são forçadas por brute force e os ativos drenados, e um pagamento é emitido para o usuário que fez a vítima baixar o software falso," o pesquisador disse à imprensa.
O pesquisador diz que as informações de pagamento para membros do Crazy Evil são publicamente postadas no Telegram, revelando que membros dessa operação podem ganhar dezenas, senão centenas, de milhares de dólares por cada vítima que eles conseguirem drenar com sucesso.
Em resposta aos ataques, a CryptoJobsList removeu as listagens de empregos e alertou aqueles que se candidataram que era um golpe e para escanearem seus dispositivos em busca de malware.
Devido à atenção pública para este golpe, os atores de ameaça parecem ter encerrado essa campanha em particular, com o site não estando mais disponível.
No entanto, para aqueles que instalaram o software por engano, é imperativo que você mude as senhas, frases-senha e tokens de autenticação para cada site que você visita e carteiras de criptomoedas que possui.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...