Une récente campagne d’ingénierie sociale a ciblé les demandeurs d’emploi dans l’espace Web3 avec de faux entretiens d’embauche via une application de réunion malveillante « GrassCall » qui installe des logiciels malveillants voleurs d’informations pour voler des portefeuilles de crypto-monnaie.
Des centaines de personnes ont été touchées par l’arnaque, certaines rapportant que leur portefeuille a été vidé lors des attaques.
Un groupe Telegram a été créé pour discuter de l’attaque et pour que les personnes touchées s’entraident pour supprimer les infections de logiciels malveillants des appareils Mac et Windows.
L’attaque d’ingénierie sociale de GrassCall
La campagne a été menée par une « équipe de trafiquants » russophone connue sous le nom de Crazy Evil. Ce groupe mène des attaques d’ingénierie sociale pour inciter les utilisateurs à télécharger des logiciels malveillants sur leurs appareils Windows et Mac.
Ce groupe de cybercriminalité est connu pour cibler les utilisateurs dans l’espace de la crypto-monnaie, où ils font la promotion de faux jeux ou d’opportunités d’emploi sur les réseaux sociaux.
Les utilisateurs sont incités à installer un logiciel qui déploie des logiciels malveillants voleurs d’informations sur des appareils qui peuvent être utilisés pour voler des mots de passe, des cookies d’authentification et des portefeuilles de l’ordinateur compromis.
Lors d’une conversion avec Choy, un professionnel du web3 ciblé par l’attaque d’ingénierie sociale, Breachtrace a appris que les acteurs de la menace avaient créé un personnage en ligne élaboré composé d’un site Web et de profils de médias sociaux sur X et LinkedIn où ils prétendaient être une entreprise nommée « ChainSeeker.io ».
Les acteurs de la menace ont ensuite publié des offres d’emploi premium sur LinkedIn, WellFound et CryptoJobsList, l’un des sites d’emploi les plus populaires pour les carrières Web3 et blockchain.
Les personnes qui ont postulé pour les emplois ont reçu un e-mail contenant une invitation à un entretien, où elles rencontreraient le directeur du marketing. Les cibles ont été invitées à contacter le CMO via Telegram pour coordonner la réunion.
Lorsqu’il était contacté, le faux CMO disait à la cible qu’il devait télécharger un logiciel de visioconférence appelé « GrassCall » en utilisant le site Web et le code inclus.
Le logiciel Grass Call a été téléchargé à partir de » grass call[.] net, » et offrirait un client Windows ou Mac en fonction de l’agent utilisateur du navigateur du visiteur.
Le chercheur en cybersécurité g0njxa, qui a suivi ces acteurs de la menace, a déclaré à Breachtrace que le site Web GrassCall est un clone d’un site Web « Gatherum » utilisé dans une campagne précédente. Le chercheur affirme que ces sites Web sont utilisés dans le cadre d’attaques d’ingénierie sociale menées par un sous-groupe diabolique fou connu sous le nom de « kevland », qui est également décrit dans un rapport de Recorded Future.
« Gatherum est un logiciel de réunion virtuelle autoproclamé amélioré par l’IA qui est principalement annoncé sur les réseaux sociaux (@GatherumAI) et un blog Medium généré par l’IA (medium[.] com/ @ GatherumApp) », explique un futur rapport enregistré sur les cybercriminels fous et maléfiques.
« Les trafiquants affectés à Gatherum reçoivent un manuel pour travailler sur l’arnaque. Gatherum est géré par la sous-équipe Crazy Evil KEVLAND, suivie en interne par Insikt Group sous le nom de CE-6. »
Lorsque les visiteurs tenteront de télécharger l’application GrassCall, ils seront invités à entrer le code partagé par le faux CMO dans la conversion Telegram.
En entrant le bon code, le site Web proposera soit un appel Windows « GrassCall ».exe « client [VirusTotal] ou un Mac » Appel de Grass_v.6.10.dmg » client [VirusTotal]. Une fois exécutés, les deux programmes installeront des logiciels malveillants voleurs d’informations ou des chevaux de Troie d’accès à distance (RATs).
Sur les appareils Windows, la fausse application de réunion installera un RAT avec un revendeur d’informations, tel que Rhadamanthys. Sur les Mac, il installera le malware Atomic (AMOS) Stealer.
« Le rat est utilisé pour créer de la persistance dans la machine, ajouter un enregistreur de frappe pour le mot de passe et déployer du phishing de semences pour les portefeuilles durs », a expliqué G0njxa.
Une fois exécuté, le logiciel malveillant tentera de voler des fichiers en fonction des mots clés, des portefeuilles de crypto-monnaie, des mots de passe stockés dans le trousseau Apple et des mots de passe et des cookies d’authentification stockés dans les navigateurs Web.
G0njxa a déclaré à Breachtrace que les informations volées sont téléchargées sur les serveurs de l’opération et que les informations sur ce qui a été volé sont publiées sur les canaux Telegram utilisés par l’entreprise de cybercriminalité.
« Si un portefeuille est trouvé, les mots de passe sont forcés brutalement et les actifs drainés, et un paiement est émis à l’utilisateur qui a obligé la victime à télécharger le faux logiciel », a déclaré le chercheur à Breachtrace .
Le chercheur affirme que les informations de paiement des membres de Crazy Evil sont publiées publiquement sur Telegram, révélant que les membres de cette opération peuvent gagner des dizaines, voire des centaines, de milliers de dollars pour chaque victime qu’ils drainent avec succès.
En réponse aux attaques, Crypto Jobs List a supprimé les offres d’emploi et a averti ceux qui postulaient qu’il s’agissait d’une arnaque et qu’ils devaient analyser leurs appareils à la recherche de logiciels malveillants.
En raison de l’attention du public portée à cette arnaque, les acteurs de la menace semblent avoir mis fin à cette campagne particulière, le site Web n’étant plus disponible.
Cependant, pour ceux qui ont installé le logiciel par erreur, il est impératif que vous changiez les mots de passe, les phrases secrètes et les jetons d’authentification pour chaque site Web que vous visitez et les portefeuilles de crypto-monnaie que vous possédez.
Il est également important d’activer l’authentification à deux facteurs sur tous les sites qui la prennent en charge à l’aide d’une application d’authentification. Une fois activé, même si vos informations d’identification sont volées, les auteurs de menaces ne pourront pas accéder à votre compte sans vos codes 2FA.