Der GrassCall-Betrug von Crazy Evil täuscht Krypto-Jobsuchende.

Eine Cybercrime-Gruppe namens "Crazy Evil" nutzt Berichten zufolge gefälschte Jobangebote und eine bösartige Anwendung namens "GrassCall", um informationsstehlende Software bereitzustellen, die Kryptowährungs-Wallets angreift und leert.

Dieses Schema hat zahlreiche Arbeitssuchende im Web3-Bereich betroffen.

Die Gruppe, die als in Russland ansässiges "Traffer-Team" identifiziert wurde, ist auf Social-Engineering-Taktiken spezialisiert, um Menschen dazu zu bringen, Malware herunterzuladen.

Das Cybersicherheitsunternehmen Recorded Future berichtete, dass Crazy Evil mit über zehn aktiven Betrügereien in sozialen Medien in Verbindung gebracht wurde, die sich ausdrücklich auf den Kryptowährungssektor richten.

Einer ihrer früheren Betrügereien, Gatherum, war eine ähnliche Meeting-App mit dem gleichen Branding wie GrassCall.

Crazy Evil erstellte ein gefälschtes Kryptounternehmen namens "Chain Seeker", komplett mit Social-Media-Konten und Stellenanzeigen auf LinkedIn, CryptoJobsList und WellFound.

Bewerber wurden per E-Mail kontaktiert und gebeten, sich mit dem "Chief Marketing Officer" auf Telegram zu verbinden.

Der gefälschte CMO wies die Arbeitssuchenden dann an, die bösartige GrassCall-App von einer unter ihrer Kontrolle stehenden Website herunterzuladen.

LinkedIn-Nutzer Cristian Ghita bemerkte, dass der Betrug gut organisiert war, mit einer professionellen Website, LinkedIn- und X-Profilen und aufgeführten Mitarbeitern.

Die GrassCall-Software, die auf einer Website gehostet wurde, bot je nach Browser des Besuchers Windows- und Mac-Versionen an.

Nach der Installation setzte die Software informationsstehlende Malware ein, wie den Rhadamanthys RAT auf Windows und den Atomic (AMOS) Stealer auf Macs.

Diese Malware stiehlt Passwörter, Authentifizierungs-Cookies und Kryptowährungs-Wallets.

Gestohlene Daten werden dann auf die Server der Angreifer hochgeladen.

Der Cybersicherheitsforscher g0njxa erklärte, dass der RAT verwendet wird, um dauerhaften Zugriff auf den infizierten Rechner zu erhalten, einen Keylogger zu installieren und Phishing-Versuche zu starten, um Seed-Phrasen von Krypto-Wallets zu stehlen.

Opfern wird empfohlen, ein nicht infiziertes Gerät zu verwenden, um Passwörter zu ändern und ihre Kryptowährungen in neue Wallets zu übertragen.

CryptoJobsList hat die betrügerischen Stellenanzeigen entfernt.

Die Website ist aufgrund der öffentlichen Aufmerksamkeit für den Betrug nicht mehr aktiv.