Como parte de una campaña de ingeniería social, los piratas informáticos están enviando ofertas de trabajo falsas a los solicitantes de empleo en el espacio Web3 con intenciones maliciosas. Recientemente se utilizó una dudosa aplicación de reunión llamada 'GrassCall' para difundir malware que drena las billeteras criptográficas del usuario.
El fraude supuestamente llevado a cabo por un equipo de piratas informáticos rusos conocido como "maldad loca". Este grupo de ciberdelincuentes se especializa en ataques de ingeniería social que engañan a los usuarios para instalar software infectado en sus PC Mac y Windows.
Crazy Mal comúnmente se dirige a las personas en el espacio criptográfico, donde promueven oportunidades y juegos de trabajo falsos a través de varios sitios web de redes sociales. Una compañía de ciberseguridad, registrada Future , dijo que ha conectado "más de diez estafas activas en las redes sociales" con Crazy Evil.
Más recientemente, surgieron informes de otra compañía de estafas falsas. Esta vez, la compañía se llamaba Chainseeker.io, según un usuario X.
Según los informes , los actores de amenaza crearon perfiles de compañía falsos para Chainseeker.io en LinkedIn, donde han estado enviando listados de trabajo premium. Otros tableros de trabajo populares donde se vio la lista falsa incluyen cryptoboblist y bien found.
Todos los que solicitaron los trabajos fueron contactados por correo electrónico, lo que les indicó que se comunicaran con el jefe de marketing de la compañía en Telegram.
Luego, el jefe solicitaría que el usuario descargue una aplicación de videollamadas llamada 'GrassCall' de un sitio web ahora eliminado. Dependiendo del navegador del usuario, el sitio web les ofrecería un cliente Mac o Windows.
Después de descargar la aplicación, se les pide a los usuarios que ingresen un código compartido por el CMO en el chat de Telegram. El sitio web luego proporciona un cliente MAC "GrassCall_V.6.10.dmg" [Virustotal] o un cliente [Virustotal] Cliente de Windows "GrassCall.exe". Una vez que se ingresa el código correcto, ambas aplicaciones instalan un robador de información, como Rhadamanthys (en Windows), troyanos de acceso remoto (ratas) u otro malware. En Macs, el malware Atomic (AMOS) se instala.
Una vez instalado, el virus recopila direcciones de billetera, cookies de autenticación y contraseñas almacenadas en el navegador en línea y el llavero de Apple. La información robada se carga en un servidor y se publica en los canales de telegrama propiedad de los actores maliciosos.
Si se encuentra una billetera, los piratas informáticos usan un método de fuerza bruta para descifrar las contraseñas y drenar los activos del usuario. De estos activos, los piratas informáticos pagan al usuario que hizo que la víctima desprevenida descargue la aplicación maliciosa.
Según la información de pago publicada públicamente, los miembros de Crazy Evil aparentemente ganan decenas de miles de dólares por víctima.
Varios usuarios han contado sus experiencias después de solicitar dichas publicaciones de trabajo de estafa. Cristian Ghita, un usuario de LinkedIn , publicado en la plataforma: “Parecía legítimo desde casi todos los ángulos. Incluso la herramienta de videoconferencia tenía una presencia en línea casi creíble ".
El investigador de ciberseguridad, Gonjxa , también ha sido dent aplicaciones dudosas de reuniones llamadas Gatherum, y Vibe Call. Gatherum fue utilizado en una campaña anterior por un subgrupo de Crazy Evil llamado "Kevland". Curiosamente, la marca de ambas aplicaciones es más o menos ser dent a GrassCall. Ahora, los estafadores han pasado a su nueva campaña con Vibe Call, que actualmente se distribuye entre los solicitantes de empleo Web3.
En respuesta a la atención que este ataque recibió en línea, los informes de trabajo de Chain Seeker ahora han sido retirados por la mayoría de las juntas de trabajo.
Los resultados de búsqueda de LinkedIn ya no devuelven ninguna publicación de trabajo vinculada a chainseeker.io. Al mismo tiempo, su sitio web ha sido marcado en bases de datos de la comunidad por ser sospechoso. Además, las cuentas de LinkedIn de los empleados de la compañía han sido eliminadas. Se aconseja a los usuarios que ya han interactuado con estafadores o instaladas aplicaciones sospechosas en sus dispositivos que cambien sus contraseñas y tokens de autenticación y muevan su criptografía a billeteras frescas como una medida de precaución. También se recomienda activar la autenticación de dos factores a través de una aplicación de autenticación en todos los sitios web que admiten esta función.
Academia Cryptopolitan: Próximamente, una nueva forma de obtener ingresos pasivos con DeFi en 2025. Obtenga más información