暗号の求職者が騙され、財布の中身が流出

最近、ソーシャル・エンジニアリングのキャンペーンが行われた。求職者 このアプリは、暗号通貨のウォレットを盗むために設計されたマルウェアをインストールしました。

Crazy Evilとして知られるこのサイバー犯罪グループは、偽の求人情報を使って個人を誘い、WindowsとMacの両方のデバイスに悪意のあるソフトウェアをダウンロードさせた。

このグループは、偽のWeb3企業「"ChainSeeker.io」を設立し、LinkedInやFacebookなどのプラットフォームで、「"Blockchain Analyst"」や「"Social Media Manager」などの偽の求人情報を宣伝していた。X（旧Twitter）。

何百人もの被害者が報告している。財布の盗難 攻撃を受けて

詐欺の被害に遭ったとされるフリーランスのUXデベロッパー、クリスティアン・ギータは、LinkedInの投稿で自身の経験を共有し、その機会は一見本物のように見えたと表現した。

彼はこう付け加えた：

ビデオ会議ツールでさえ、ほとんど信じられるようなオンラインの存在感があった」。

その後、キャンペーンは中止され、ほとんどのソーシャルメディア広告は削除されたが、影響を受けた多くの人々が、マルウェアの駆除をサポートするために専用のTelegramグループを利用した。

サイバーセキュリティの専門家は、暗号コミュニティ内でこのような攻撃がますます巧妙になっていると警告している。

クレイジー・イーヴィルはどのように暗号化された求職者をソーシャル・エンジニアリングで攻撃したのか？

ユーザーは騙されて、パスワード、認証クッキー、暗号通貨ウォレットなどの機密情報を盗むように設計された悪意のあるソフトウェアをインストールさせられた。

攻撃対象となったWeb3のプロフェッショナルであるチョイ氏との会話で、サイバー犯罪者は、偽のウェブサイトやソーシャルメディア上のプロフィールなど、説得力のあるオンライン上のペルソナを作り上げたことが明らかになった。X とLinkedInに「ChainSeeker.io."」という名前で掲載されている；

ロシア語を話すこのグループは、LinkedIn、WellFound、CryptoJobsListなどのプラットフォームでプレミアム広告を購入し、知名度を上げることで、詐欺をさらに増幅させた。

CryptoJobsListによるChainSeeker Jobsのプロモーション

応募者は偽の会社と関わった後、「最高人事責任者」とされる人物からメールを受け取り、テレグラムで偽の「最高マーケティング責任者」とつながるよう指示される。

ChainSeeker社の偽インタビュー招待状

そして、その人物は、GrassCallというバーチャル会議ソフトをダウンロードし、コードを入力するよう促す。

一旦インストールされると、GrassCallは様々な形で情報を盗み出す。マルウェア とリモート・アクセス・トロイの木馬（RAT）を被害者のデバイスに侵入させ、暗号ウォレット、パスワード、Apple Keychainデータ、ブラウザ認証クッキーを探し出した。

grasscall[.]net,"でホストされていたソフトウェアは、ユーザーのブラウザーの設定に応じて、WindowsまたはMacデバイスのいずれかに調整されていた。

偽ChainSeeker CMOとのテレグラムでの会話

サイバーセキュリティ研究者であるg0njxa氏は、このような脅威行為者を追跡しており、GrassCallのウェブサイトが、以前別のキャンペーンで使用されたウェブサイトとほぼ同じレプリカであることを明らかにした。

g0njxaによると、これらのクローンサイトは、Crazy Evilというハッカーグループのquot;kevland,"として知られるサブグループが組織したソーシャルエンジニアリング攻撃の一部だという。

Aクレイジー・イーヴィルのサイバー犯罪者に関するレコーデッド・フューチャーのレポート と説明した：

quot;Gatherumは、主にソーシャルメディア（@GatherumAI）とAIによって生成されたMediumブログ（medium[.]com/@GatherumApp）で宣伝されている自称AI強化型バーチャルミーティングソフトウェアである。Gatherumに割り当てられた人身売買業者には、詐欺を働くためのマニュアルが提供される。GatherumはCrazy EvilのサブチームKEVLANDによって管理されており、Insikt Group内部ではCE-6."として追跡されている；

この攻撃を受けて、CryptoJobsListは詐欺的な求人情報を速やかに削除し、応募者に警告を発し、自分のデバイスをスキャンするよう助言した。マルウェアだ。

しかし、g0njxaの報告によると、攻撃者はすでに「VibeCall」と名付けられた新しいキャンペーンに焦点を移しており、「GrassCall」と同じウェブサイト・テンプレートを引き続き利用している。

この変化は、防御を回避するために適応する攻撃者の手法が進化していることを浮き彫りにしている。