Un gruppo di cybercriminali russi, noto come Crazy Evil, ha sfruttato la classica ingegneria sociale per ingannare alcuni utenti con false offerte di lavoro. Lo scopo finale è convincere le ignare vittime a scaricare un presunto software per i meeting che nasconde un malware in grado di accedere ai wallet di criptovalute e rubare vari dati sensibili.
GrassCall: false offerte di lavoro
I cybercriminali hanno preparato tutto nei minimi dettagli. Innanzitutto è stata creata una falsa azienda denominata ChainSeeker con sito web ufficiale e profili su vari social network, tra cui X e LinkedIn. Successivamente hanno pubblicato offerte di lavoro fasulle su LinkedIn, WellFound e CryptoJobsList, uno dei siti più popolari per i settori Web3 e blockchain.
Rispondendo ad un’offerta di lavoro, le ignare vittime hanno ricevuto un’email da ChainSeeker. Nel testo è presente il link al profilo Telegram di un dipendente che fornisce il codice per un meeting con il presunto Chief Marketing Officer dell’azienda da inserire nella pagina del sito da cui scaricare GrassCall.
Quest’ultimo dovrebbe essere un software per i meeting. In realtà viene installato un RAT (Remote Access Trojan) e un infostealer (ad esempio Rhadamanthys) su Windows, mentre su macOS viene installato Atomic Stealer. I malware iniziano quindi a cercare password, wallet di criptovalute e cookie di autenticazione. Tutti i dati sono inviati a server gestiti dai cybercriminali.
Nel caso dei wallet viene individuata la password tramite brute force e rubate le monete digitali. Sul canale Telegram di Crazy Evil è stata pubblicata la somma sottratta ad ogni vittima. CryptoJobsList ha rimosso l’offerta di lavoro e il sito fake è stato chiuso dai cybercriminali, ma i malware rimangono attivi fino alla loro rimozione.
Ti potrebbe interessare
2 mar 2025