«Безумные злые» хакеры создают фейковую Web3-компанию и опустошают криптокошельки соискателей

Хакерская группа Crazy Evil создала поддельную Web3-компанию для кражи криптовалюты

Хакерская группа Crazy Evil создала поддельную Web3-компанию под названием «ChainSeeker.io», чтобы обманом заставить соискателей работы в криптоиндустрии загрузить вредоносное ПО, истощающее кошелек.

По данным сайта по кибербезопасности Bleeping Computer, группа создала профили в LinkedIn и X, рекламирующие стандартные вакансии в криптоиндустрии, такие как «аналитик блокчейна» или «менеджер социальных сетей».

Русскоязычная группа, известная как Crazy Evil, также размещала премиум-рекламу на таких сайтах, как LinkedIn, WellFound и CryptoJobsList, чтобы повысить видимость своих объявлений. Затем соискатели получали электронное письмо от «директора по персоналу» поддельной компании, который предлагал им связаться с поддельным «директором по маркетингу» (CMO) в Telegram.

Затем мнимый директор по маркетингу подталкивал их к загрузке и установке программного обеспечения для виртуальных встреч, известного как GrassCall, и вводу кода, предоставленного директором по маркетингу. Затем GrassCall устанавливал различные вредоносные программы или трояны удаленного доступа (RAT), которые искали криптовалютные кошельки, пароли, данные Apple Keychain и аутентификационные файлы, хранящиеся в веб-браузерах.

На момент написания статьи кампания уже не проводится, а большинство рекламных объявлений, по данным Bleeping Computer, были удалены из социальных сетей.

Соискателей обманывали, заставляя установить специально разработанное программное обеспечение для виртуальных встреч GrassCall, в которое внедрялось вредоносное ПО.

Кристиан Гита, внештатный UX-разработчик, который утверждает, что пострадал от этой аферы, сказал: «Это выглядело так. законность почти со всех сторон», - написал он в своем сообщении в LinkedIn.

Он добавил: «Даже инструмент для видеоконференций имел почти правдоподобное присутствие в сети».

Некоторые из тех, кто пострадал от этой аферы, объединились в группу поддержки жертв в Telegram.

Согласно отчету, подготовленному в прошлом году компанией Recorded Future, это не первая социально-инженерная атака Crazy Evil на криптоиндустрию. Recorded Future обнаружила десять отдельных социально-инженерных афер, проведенных группой в социальных сетях, многие из которых были направлены на людей, работающих в индустрии DeFi.

Северокорейские хакеры, спонсируемые государством, расширили свой арсенал, запустив новую кампанию под названием «Скрытый риск», целью которой является проникновение в криптовалютные фирмы с помощью вредоносного ПО, замаскированного под законные документы.

В своем отчете, опубликованном в четверг, компания SentinelLabs, занимающаяся исследованием взломов, связала последнюю кампанию с печально известной группировкой BlueNoroff, входящей в состав печально известной Lazarus Group, которая известна тем, что выкачивала миллионы на финансирование ядерной и оружейной программ Северной Кореи.

Серия атак - это продуманная попытка расширить...

В отчете говорится, что доход группы за весь период ее существования составил более 5 миллионов долларов, и утверждается, что она занимается вербовкой на русскоязычных досках объявлений с 2021 года. Помимо фальшивых объявлений о работе, существует множество других целевых мошенничеств, о которых должны знать профессионалы криптоиндустрии.

В прошлом году в ходе сложной социально-инженерной аферы хакеры использовали поддельные ссылки на Zoom для установки вредоносного ПО для кражи криптовалют, используя тактику, схожую с тактикой Crazy Evil в своей последней фишинговой кампании.

А в январе исследовательская компания SentinelLabs показала, как связанная с Северной Кореей группа BlueNoroff использовала обновления электронной почты о тенденциях DeFi и ценах на биткоин, чтобы обманом заставить пользователей загрузить вредоносное ПО, замаскированное под отчеты в формате PDF.