Киберпреступники используют поддельные вакансии и новое вредоносное приложение GrassCall, чтобы похищать криптовалюту у жертв. Мошенники выдавали себя за представителей криптокомпании и предлагали работу, но в итоге вынуждали кандидатов скачивать вредоносное ПО, которое украло данные их криптокошельков.
Как сообщает BleepingComputer, схема уже разоблачили, а связанные с ней сайты и учетные записи в LinkedIn удалены. Однако пострадавшие уже потеряли свои средства.
Кто стоит за атакой
По данным Recorded Future, атаку организовала киберпреступная группа Crazy Evil. Эта команда специализируется на социальной инженерии и ориентирована на кражу криптовалюты с помощью фишинга. В январе эксперты связывали группу с более чем десятью активными мошенническими схемами в криптопространстве.
GrassCall — не первый случай использования вредоносных приложений в этой схеме. Ранее мошенники использовали похожее приложение Gatherum, которое маскировалось под сервис для видеозвонков. Обнаруженный аккаунт VibeCall в X также использует ту же символику, что Gatherum и GrassCall.
Как работала схема с фальшивыми вакансиями
Мошенники создали поддельную криптофирму под названием Chain Seeker и размещали вакансии на LinkedIn, CryptoJobsList и WellFound. После отклика кандидатов они отправляли электронное письмо с предложением связаться с их «маркетинг-директором» в Telegram.
На следующем этапе жертву просили загрузить приложение GrassCall с поддельного сайта. Именно через это ПО происходила кража данных криптокошельков.
Комментарии пострадавших
Многочисленные пользователи X и LinkedIn сообщили, что откликались на вакансии Chain Seeker и получали ссылку на GrassCall.
«Эта схема была тщательно спланирована — у них был сайт, профили в LinkedIn и X, поддельные сотрудники», — написал пользователь Кристиан Гита (Cristian Ghita) в LinkedIn 26 февраля после попытки устроиться в Chain Seeker.
По его словам, даже приложение для видеозвонков выглядело реалистично.
Хотя большая часть объявлений о вакансиях Chain Seeker была удалена, одно из них оставалось активным в LinkedIn на момент публикации.
Фальшивые сотрудники и предупреждения экспертных компаний
Сайт Chain Seeker представлял Изабель Олмедо (Isabel Olmedo) как финансового директора и Адриано Каттанео (Adriano Cattaneo) как HR-менеджера. Однако их профили в LinkedIn уже удалены.
Аккаунт Артемса Джалбса (Artjoms Dzalbs), который был указан как CEO компании, на момент публикации остается активным.
Recorded Future ранее предупреждала, что криптотрейдеры, NFT-инвесторы и геймеры — одни из главных целей таких атак.
Что делать пострадавшим
Пользователи X и LinkedIn советуют тем, кто скачал GrassCall, немедленно:
- Сменить пароли на всех криптосервисах через чистое устройство.
- Перевести активы в новый криптокошелек, чтобы предотвратить кражу.
Хотя мошеннические аккаунты удалены, атака показала, что злоумышленники продолжают использовать социальную инженерию для доступа к цифровым активам.
Читайте также:
- Кибератака на игроков CS2: крадут криптовалюту и Steam-аккаунты — как защититься
- ФБР предупреждает о росте ИИ-атак на Gmail — как защититься
- Мошенники под видом HR добывать Monero с помощью соискателей — CrowdStrike
Данный пост носит исключительно информационный характер и не является рекламой или инвестиционным советом. Пожалуйста, проводите собственное исследование, принимая какие-либо решения.