Crazy Evil'in GrassCall dolandırıcılığı kripto iş arayanları kandırıyor.

"Crazy Evil" adlı bir siber suç grubunun, sahte iş teklifleri ve "GrassCall" adlı kötü niyetli bir uygulamayı kullanarak kripto para cüzdanlarını hedefleyen ve boşaltan bilgi çalan yazılımlar dağıttığı bildiriliyor.

Bu plan, Web3 alanındaki birçok iş arayanı etkilemiştir.

Grup, bireyleri kötü amaçlı yazılımları indirmeye kandırmak için sosyal mühendislik taktiklerinde uzmanlaşmış, Rusya merkezli bir "traffer ekibi" olarak tanımlandı.

Siber güvenlik firması Recorded Future, Crazy Evil'in özellikle kripto para sektörünü hedef alan sosyal medyada ondan fazla aktif dolandırıcılıkla bağlantılı olduğunu bildirdi.

Onların önceki dolandırıcılıklarından biri olan Gatherum, GrassCall ile aynı markaya sahip benzer bir toplantı uygulamasıydı.

Crazy Evil, sosyal medya hesapları ve LinkedIn, CryptoJobsList ve WellFound'da iş ilanlarıyla birlikte "Chain Seeker" adlı sahte bir kripto firması yarattı.

Adaylarla e-posta yoluyla iletişime geçilerek Telegram'da "Baş Pazarlama Yöneticisi" ile bağlantı kurmaları istendi.

Sahte Baş Pazarlama Yöneticisi daha sonra iş arayanlara kendi kontrollerindeki bir web sitesinden kötü niyetli GrassCall uygulamasını indirmelerini söyledi.

LinkedIn kullanıcısı Cristian Ghita, dolandırıcılığın profesyonel bir web sitesi, LinkedIn ve X profilleri ve listelenen çalışanlarla iyi planlandığını belirtti.

Web sitesinde barındırılan GrassCall yazılımı, ziyaretçinin tarayıcısına bağlı olarak Windows ve Mac sürümleri sundu.

Yüklendikten sonra, yazılım Windows'ta Rhadamanthys RAT ve Mac'lerde Atomic (AMOS) Stealer gibi bilgi çalan kötü amaçlı yazılımları dağıttı.

Bu kötü amaçlı yazılım, parolaları, kimlik doğrulama tanımlama bilgilerini ve kripto para cüzdanlarını çalıyor.

Çalınan veriler daha sonra saldırganların sunucularına yükleniyor.

Siber güvenlik araştırmacısı g0njxa, RAT'ın enfekte olmuş makineye kalıcı erişim sağlamak, bir tuş kaydedici yüklemek ve kripto cüzdanlarından tohum ifadelerini çalmak için kimlik avı girişimlerini başlatmak için kullanıldığını belirtti.

Mağdurlara, parolalarını değiştirmek ve kriptolarını yeni cüzdanlara taşımak için enfekte olmamış bir cihaz kullanmaları tavsiye edilir.

CryptoJobsList, sahte iş ilanlarını kaldırdı.

Web sitesi, dolandırıcılığın kamuoyunda dikkat çekmesi nedeniyle artık aktif değil.