Người tìm việc làm tiền điện tử bị lừa, ví tiền bị cạn kiệt
Một chiến dịch kỹ thuật xã hội gần đây nhắm vàongười tìm việc trong không gian Web3 thông qua ứng dụng họp "GrassCall" lừa đảo, cài đặt phần mềm độc hại được thiết kế để đánh cắp ví tiền điện tử.
Nhóm tội phạm mạng này, được gọi là Crazy Evil, đã sử dụng các cơ hội việc làm giả để dụ dỗ mọi người tải xuống phần mềm độc hại trên cả thiết bị Windows và Mac.
Nhóm này đã tạo ra một công ty Web3 giả mạo, "ChainSeeker.io" và quảng cáo các danh sách việc làm giả mạo, chẳng hạn như "Blockchain Analyst" và "Social Media Manager" trên các nền tảng như LinkedIn vàX (trước đây gọi là Twitter).
Hàng trăm nạn nhân đã báo cáotrộm ví sau các cuộc tấn công.
Cristian Ghita, một nhà phát triển UX tự do được cho là bị ảnh hưởng bởi vụ lừa đảo này, đã chia sẻ kinh nghiệm của mình trong một bài đăng trên LinkedIn, bày tỏ rằng cơ hội này có vẻ có thật ngay từ cái nhìn đầu tiên.
Ông nói thêm:
Ngay cả công cụ hội nghị truyền hình cũng có sự hiện diện trực tuyến gần như đáng tin cậy.”
Mặc dù chiến dịch đã bị dừng lại và hầu hết các quảng cáo trên mạng xã hội đã bị xóa,nhiều cá nhân bị ảnh hưởng đã chuyển sang nhóm Telegram chuyên dụng để được hỗ trợ xóa phần mềm độc hại.
Các chuyên gia an ninh mạng cảnh báo về mức độ tinh vi ngày càng tăng của các cuộc tấn công như vậy trong cộng đồng tiền điện tử.
Crazy Evil đã điều hành cuộc tấn công kỹ thuật xã hội vào những người xin việc tiền điện tử như thế nào
Người dùng bị lừa cài đặt phần mềm độc hại được thiết kế để đánh cắp thông tin nhạy cảm, bao gồm mật khẩu, cookie xác thực và ví tiền điện tử.
Trong cuộc trò chuyện với Choy, một chuyên gia Web3 bị tấn công, người ta tiết lộ rằng tội phạm mạng đã tạo ra một nhân vật trực tuyến thuyết phục, hoàn chỉnh với một trang web giả mạo và hồ sơ truyền thông xã hội trênX và LinkedIn dưới tên "ChainSeeker.io"
Nhóm nói tiếng Nga này còn khuếch đại hành vi lừa đảo của mình bằng cách mua quảng cáo cao cấp trên các nền tảng như LinkedIn, WellFound và CryptoJobsList để tăng khả năng hiển thị.
Khuyến mãi việc làm ChainSeeker của CryptoJobsList
Sau khi liên hệ với công ty giả mạo, người nộp đơn sẽ nhận được email từ một "giám đốc nhân sự" được cho là, hướng dẫn họ kết nối với "giám đốc tiếp thị" giả mạo trên Telegram.
Lời mời phỏng vấn giả mạo của công ty ChainSeeker
Sau đó, người này sẽ nhắc họ tải xuống phần mềm họp ảo có tên GrassCall và nhập mã.
Sau khi cài đặt, GrassCall đã tiêm nhiều hình thức đánh cắp thông tin khác nhauphần mềm độc hại và trojan truy cập từ xa (RAT) vào thiết bị của nạn nhân, sau đó tìm kiếm ví tiền điện tử, mật khẩu, dữ liệu Apple Keychain và cookie xác thực của trình duyệt.
Phần mềm được lưu trữ trên "grasscall[.]net", được thiết kế riêng cho các thiết bị Windows hoặc Mac tùy thuộc vào cấu hình trình duyệt của người dùng.
Cuộc trò chuyện trên Telegram với CMO giả mạo của ChainSeeker
Nhà nghiên cứu an ninh mạng g0njxa, người đã theo dõi những kẻ đe dọa này, tiết lộ rằng trang web GrassCall gần như giống hệt với trang web "Gatherum" trước đây được sử dụng trong một chiến dịch khác.
Theo g0njxa, các trang web sao chép này là một phần của các cuộc tấn công kỹ thuật xã hội được dàn dựng bởi một nhóm nhỏ của nhóm tin tặc Crazy Evil có tên là "kevland", một nhóm cũng được nêu chi tiết trong báo cáo của Recorded Future.
MỘT Bản báo cáo ghi lại tương lai về tội phạm mạng Crazy Evil giải thích:
"Gatherum là phần mềm họp ảo tự xưng được tăng cường AI, chủ yếu được quảng cáo trên phương tiện truyền thông xã hội (@GatherumAI) và blog Medium do AI tạo ra (medium[.]com/@GatherumApp). Những kẻ buôn bán được giao cho Gatherum được cung cấp một hướng dẫn để thực hiện trò lừa đảo. Gatherum được quản lý bởi nhóm phụ Crazy Evil KEVLAND, được Insikt Group theo dõi nội bộ với tên CE-6."
Để ứng phó với cuộc tấn công, CryptoJobsList đã nhanh chóng xóa các danh sách việc làm gian lận và đưa ra cảnh báo cho những người nộp đơn, khuyên họ nên quét thiết bị của mình để tìmphần mềm độc hại.
Tuy nhiên, g0njxa báo cáo rằng những kẻ tấn công đã chuyển trọng tâm sang một chiến dịch mới có tên "VibeCall" và vẫn tiếp tục sử dụng cùng một mẫu trang web như GrassCall.
Sự thay đổi này làm nổi bật bản chất tiến hóa của các phương pháp tấn công khi chúng thích nghi để vượt qua hàng phòng thủ.