Yakın tarihli bir sosyal mühendislik kampanyası, Web3 alanındaki iş arayanları, kripto para cüzdanlarını çalmak için bilgi çalma kötü amaçlı yazılımları yükleyen kötü niyetli bir "GrassCall" toplantı uygulaması aracılığıyla sahte iş görüşmeleri ile hedef aldı.
Yüzlerce insan aldatmacadan etkilendi, bazı raporlar cüzdanlarının saldırılarda boşaltılmasını sağladı.
Saldırıyı tartışmak ve Mac ve Windows cihazlarından kötü amaçlı yazılım enfeksiyonlarını kaldırmalarına yardımcı olmak için etkilenenler için bir telgraf grubu oluşturulmuştur.
Kampanya, Crazy Evil olarak bilinen Rusça konuşan bir "kaçak takımı" tarafından gerçekleştirildi. Bu grup, kullanıcıları Windows ve Mac cihazlarında kötü amaçlı yazılımlar indirmeye kandırmak için sosyal mühendislik saldırıları düzenler.
Bu siber suç grubu, kripto para birimi alanındaki kullanıcıları hedeflemekle bilinir, burada sahte oyunları veya sosyal medya üzerinden iş fırsatlarını teşvik ederler.
Kullanıcılar, parola, kimlik doğrulama çerezleri ve cüzdanları uzlaşmış bilgisayardan çalmak için kullanılabilecek cihazlara bilgi çalma kötü amaçlı yazılımları dağıtan yazılımları yüklemeye kandırılır.
Sosyal mühendislik saldırısı tarafından hedeflenen bir Web3 uzmanı olan Choy ile bir dönüşümde, BleepingComputer'a tehdit aktörlerine, X ve LinkedIn'de "Chainseeker.io" adlı bir şirket gibi davrandıkları bir web sitesi ve sosyal medya profillerinden oluşan ayrıntılı bir çevrimiçi kişilik oluşturdukları söylendi.
Tehdit aktörleri daha sonra Web3 ve blockchain kariyerleri için daha popüler iş sitelerinden biri olan LinkedIn, Wellfound ve CryptoJobslist'te premium iş listeleri almaya devam etti.
İşler için başvuran kişilere, pazarlama görevlisiyle buluşacakları bir röportaj davetini içeren bir e -posta gönderildi. Hedeflerin toplantıyı koordine etmek için Telegram aracılığıyla CMO'ya ulaşması istendi.
İletişim kurulduğunda, sahte CMO hedefe, dahil edilen web sitesini ve kodu kullanarak "GrassCall" adlı bir video toplantı yazılımı indirmeleri gerektiğini söyler.
GrassCall yazılımı "GrassCall [.] Net" den indirildi ve ziyaretçinin tarayıcı kullanıcı aracısına bağlı olarak bir Windows veya Mac istemcisi sunacaktı.
Bu tehdit aktörlerini izleyen siber güvenlik araştırmacısı G0NJXA, BleepingComputer'a GrassCall web sitesinin önceki bir kampanyada kullanılan bir "Gatchum" web sitesinin bir klonu olduğunu söyledi. Araştırmacı, bu web sitelerinin, "Kevland" olarak bilinen çılgın bir kötü alt grup tarafından yürütülen sosyal mühendislik saldırılarının bir parçası olarak kullanıldığını ve bu da kaydedilmiş gelecek tarafından bir raporda açıklandığını söylüyor.
Crazy Evil SeebercrimeSals hakkında kaydedilmiş bir raporda, "Gatchum, öncelikle sosyal medyada (@Gatherumai) ve AI tarafından üretilen bir orta blogda (orta [.] Com/@catildumapp) ilan edilen kendi kendini geliştiren AI-geliştirilmiş bir sanal toplantı yazılımıdır."
"Gathum'a atanan kaçakçılar, aldatmaca çalışması için bir kılavuzla sağlanıyor. Gatchum, Insikt Group tarafından CE-6 olarak dahili olarak izlenen Crazy Evil alt ekibi Kevland tarafından yönetiliyor."
Ziyaretçiler GrassCall uygulamasını indirmeye çalıştıklarında, Telegram dönüşümünde sahte CMO tarafından paylaşılan kodu girmeleri istenecektir.
Doğru kodu giren web sitesi, bir Windows "GrassCall.exe" istemci [Virustotal] veya bir Mac "GrassCall_V.6.10.dmg" [Virustotal] istemci sunar. Yürütüldüğünde, her iki program da bilgi çalan kötü amaçlı yazılım veya uzaktan erişim Truva atları (sıçanlar) yükleyecektir.
Windows cihazlarında, sahte toplantı uygulaması Rhadamanthys gibi bir Infostealer ile birlikte bir sıçan yükleyecektir. Mac'lerde Atomik (AMOS) Stealer kötü amaçlı yazılımları yükleyecektir.
G0NJXA, "Sıçan makinede kalıcılık yaratmak, şifre için de bir keylogger eklemek ve sert cüzdanlar için tohum kimlik avı dağıtmak için kullanılır."
Yürütüldüğünde, kötü amaçlı yazılım, anahtar kelimelere, kripto para birimi cüzdanlarına, Apple Anahtarlık'ta depolanan şifrelere ve web tarayıcılarında depolanan şifreler ve kimlik doğrulama çerezlerine dayalı dosyaları çalmaya çalışacaktır.
G0NJXA, BleepingComputer'a çalınan bilgilerin operasyonun sunucularına yüklendiğini ve çalınan hakkında bilgiler, siber suç işletmesi tarafından kullanılan telgraf kanallarına gönderildiğini söyledi.
Araştırmacı BleepingComputer'a verdiği demeçte, "Bir cüzdan bulunursa, şifreler kaba ve varlıklar boşalır ve kurbanı sahte yazılımı indirmesini sağlayan kullanıcıya bir ödeme verilir." Dedi.
Araştırmacı, Crazy Evil üyeleri için ödeme bilgilerinin Telegram'a kamuya açıklandığını ve bu operasyonun üyelerinin başarılı bir şekilde boşalttıkları her kurban için yüzlerce dolar olmasa da onlarca olmasa da onlarca para kazanabileceğini söylüyor.
Saldırılara yanıt olarak, Cryptojobslist iş listelerini kaldırdı ve uygulayanları bir aldatmaca olduklarını ve cihazlarını kötü amaçlı yazılım için taramaları konusunda uyardı.
Bu aldatmacaya halkın ilgisi nedeniyle, tehdit aktörleri bu özel kampanyayı feshetmiş gibi görünüyor, web sitesi artık mevcut değil.
Ancak, yazılımı yanlışlıkla yükleyenler için, ziyaret ettiğiniz her web sitesi ve sahip olduğunuz kripto para cüzdanları için şifreleri, parolaları ve kimlik doğrulama jetonlarını değiştirmeniz zorunludur.
Bir kimlik doğrulama uygulaması kullanarak onu destekleyen tüm sitelerde iki faktörlü kimlik doğrulamayı etkinleştirmek de önemlidir. Etkinleştirildikten sonra, kimlik bilgileriniz çalınsa bile, tehdit aktörleri 2FA kodlarınız olmadan hesabınıza erişemez.
G0NJXA, tehdit aktörlerinin şimdi tehdit aktörlerinin GrassCall ile aynı site şablonunu kullanmaya devam ettiği "Vibecall" adlı yeni bir kampanyaya taşındığını söylüyor.
Crazy Evil ile ilgili olmasa da, bu kampanyaları da izleyen siber güvenlik araştırmacısı MalwareHunterteam, BleepingComputer'ı MyStix adlı bir NFT blockchain oyunu gibi davranan yeni bir kötü amaçlı yazılım kampanyası konusunda uyardı.
Bu tehdit aktörlerinin diğer kampanyaları gibi, oyun kripto alanındaki kişileri hedefliyor ve kripto para birimi cüzdanlarını çalmak için benzer kötü amaçlı yazılım kullanıyor.
Pump.
Kripto çalmak için kullanılan sahte CS2 turnuvası akışları, buhar hesapları
ABD 2021'de 31 milyon dolar çalındı Uranyum Finans Hack
FBI, Lazarus Hacker'larının 1,5 milyar dolarlık Bybit Crypto soygununun arkasında olduğunu doğruladı
Lazarus Bybit'i ihlal edilen Safe {cüzdan} geliştirici makinesi ile hackledi
Kaynak: Bleeping Computer