- 19,427
- 40
- 8 Ноя 2022
Поиск работы превратился в игру на деньги.
Киберпреступники организовали новую мошенническую кампанию, нацеленную на соискателей работы в сфере Web3. Злоумышленники организовывают фейковые собеседования с помощью вредоносного приложения GrassCall, которое устанавливает инфостилер для кражи данных и криптовалюты жертв.
Атака затронула сотни людей, а некоторые из них потеряли абсолютно все средства. В специально созданной группе Telegram пострадавшие обсуждают Для просмотра ссылки Войдиили Зарегистрируйся и помогают друг другу удалить вредоносное ПО с устройств на Windows и macOS.
Кампания организована группой Crazy Evil, специализирующейся на социальной инженерии. Хакеры маскируют вредоносное ПО под легитимные инструменты и распространяют его среди пользователей криптовалютного рынка. Ранее группа уже использовала схожие методы, продвигая поддельные игры и вакансии.
На этот раз мошенники Для просмотра ссылки Войдиили Зарегистрируйся фиктивную компанию ChainSeeker.io с сайтом и профилями в Для просмотра ссылки Войди или Зарегистрируйся * и Для просмотра ссылки Войди или Зарегистрируйся . Мошенники размещали преиум-объявления о вакансиях на популярных платформах – Для просмотра ссылки Войди или Зарегистрируйся , WellFound и CryptoJobsList. После отклика кандидатам отправляли приглашение на интервью, а затем предлагали связаться с «маркетинговым директором» компании через Telegram.
Фейковые вакансии ChainSeeker.io и сообщение соискателю с предложением установить программу для видеозвонков (G0njxa)
Во время переписки жертве предлагали загрузить программу для видеозвонков GrassCall с сайта grasscall[.]net, представляя приложение как необходимый инструмент для проведения собеседования. В зависимости от операционной системы предлагались разные версии – EXE для Windows и DMG для macOS. После установки на устройство загружалось вредоносное ПО, включая RAT-троян и инфостилеры Rhadamanthys или Для просмотра ссылки Войдиили Зарегистрируйся (AMOS).
Программа собирала файлы, данные криптокошельков, пароли из Связки ключей Apple и данные авторизации из браузеров. Полученная информация передавалась на серверы злоумышленников, после чего участники схемы получали выплаты за каждый успешный взлом. После обнаружения мошенничества CryptoJobsList удалил объявления ChainSeeker и предупредил всех откликнувшихся о возможной угрозе. Сайт GrassCall был закрыт, но Для просмотра ссылки Войдиили Зарегистрируйся остаётся актуальной, поскольку преступники могут запустить новую кампанию под другим именем.
Исследователь кибербезопасности Для просмотра ссылки Войдиили Зарегистрируйся , который отслеживал Crazy Evil, сообщил, что сайт GrassCall является клоном сайта Gatherum, который использовался в предыдущей кампании группы. По словам g0njxa, эти сайты используются как часть атак социальной инженерии, проводимых подгруппой Crazy Evil, известной как « Для просмотра ссылки Войди или Зарегистрируйся ».
По данным g0njxa, информация о платежах для участников Crazy Evil общедоступна в Telegram, из чего следует, что группа может зарабатывать десятки, если не сотни тысяч долларов за каждую жертву.
Crazy Evil поделилась новым платежом от жертвы (G0njxa)
Пострадавшим рекомендуется срочно сменить пароли, удалить вредоносное ПО и проверить устройства на наличие следов заражения. Специалисты советуют с осторожностью относиться к предложениям работы, особенно в сфере криптовалют, и избегать загрузки неизвестных программ.
* Социальная сеть запрещена на территории Российской Федерации.
Киберпреступники организовали новую мошенническую кампанию, нацеленную на соискателей работы в сфере Web3. Злоумышленники организовывают фейковые собеседования с помощью вредоносного приложения GrassCall, которое устанавливает инфостилер для кражи данных и криптовалюты жертв.
Атака затронула сотни людей, а некоторые из них потеряли абсолютно все средства. В специально созданной группе Telegram пострадавшие обсуждают Для просмотра ссылки Войди
Кампания организована группой Crazy Evil, специализирующейся на социальной инженерии. Хакеры маскируют вредоносное ПО под легитимные инструменты и распространяют его среди пользователей криптовалютного рынка. Ранее группа уже использовала схожие методы, продвигая поддельные игры и вакансии.
На этот раз мошенники Для просмотра ссылки Войди
Фейковые вакансии ChainSeeker.io и сообщение соискателю с предложением установить программу для видеозвонков (G0njxa)
Во время переписки жертве предлагали загрузить программу для видеозвонков GrassCall с сайта grasscall[.]net, представляя приложение как необходимый инструмент для проведения собеседования. В зависимости от операционной системы предлагались разные версии – EXE для Windows и DMG для macOS. После установки на устройство загружалось вредоносное ПО, включая RAT-троян и инфостилеры Rhadamanthys или Для просмотра ссылки Войди
Программа собирала файлы, данные криптокошельков, пароли из Связки ключей Apple и данные авторизации из браузеров. Полученная информация передавалась на серверы злоумышленников, после чего участники схемы получали выплаты за каждый успешный взлом. После обнаружения мошенничества CryptoJobsList удалил объявления ChainSeeker и предупредил всех откликнувшихся о возможной угрозе. Сайт GrassCall был закрыт, но Для просмотра ссылки Войди
Исследователь кибербезопасности Для просмотра ссылки Войди
По данным g0njxa, информация о платежах для участников Crazy Evil общедоступна в Telegram, из чего следует, что группа может зарабатывать десятки, если не сотни тысяч долларов за каждую жертву.
Crazy Evil поделилась новым платежом от жертвы (G0njxa)
Пострадавшим рекомендуется срочно сменить пароли, удалить вредоносное ПО и проверить устройства на наличие следов заражения. Специалисты советуют с осторожностью относиться к предложениям работы, особенно в сфере криптовалют, и избегать загрузки неизвестных программ.
* Социальная сеть запрещена на территории Российской Федерации.
- Источник новости
- www.securitylab.ru
