Фейковые вакансии, GrassCall и крипта: новая схема развода
Киберпреступники из группировки Crazy Evil используют поддельные вакансии и модифицированное приложение для видеозвонков, чтобы красть пароли и криптовалюты.
Они выдают себя за работодателей из Web3-индустрии и размещают на популярных платформах для поиска работы внешне заманчивые предложения. Во время первой переписки они отправляют потенциальным жертвам ссылку на видеозвонок через GrassCall — малоизвестное приложение, которое на первый взгляд выглядит нормальным, но на самом деле устанавливает на устройство собеседника вредоносное программное обеспечение.
В результате деятельности данной группировки уже пострадали сотни людей.
Тактика социальной инженерии
Чтобы убедить пользователя скачать GrassCall, хакеры применяют социальную инженерию: изучают профиль кандидата, создают собственные поддельные аккаунты на платформах LinkedIn, WellFound и CryptoJobsList. Для полного антуража мошенники даже разворачивают целую виртуальную кампанию с фальшивым сайтом и активностью в соцсетях. Обычно все это подкреплено огромной историей, включающей создание компании, сбор постоянной команды и фейковые комментарии в социальных сетях.
Примеры мошеннических вакансий. Источник: Web3-пользователь под ником Choy
Для переписки мошенники используют различные мессенджеры, в том числе Telegram, что дает им возможность быстро передавать нужные инструкции, ссылки для скачивания GrassCall и отвечать на появившиеся вопросы. Такой подход помогает создать видимость заинтересованности, реалистичности и повысить шансы на успешное заражение устройства жертвы.
Читайте также: Социальная инженерия в крипте: топ-5 мошеннических схем
Технические аспекты атаки
При скачивании пользователям предлагают две версии: Windows или macOS, но независимо от выбора устройство будет заражено вредоносным ПО. После запуска фактически невозможно ничего узнать — все происходит скрыто.
На устройства Windows устанавливается троян удаленного доступа (RAT) в связке с инфостилером, который похищает пароли, куки и другие конфиденциальные данные, а на macOS применяется Atomic Stealer, извлекающий пароли из Apple Keychain, а также данные из браузеров.
Все кошельки на этом устройстве будут скомпрометированы, поэтому лучше всего создать что-то на новой машине / телефоне и перевести активы туда. Компьютер, полное стирание, установка новой ОСпрокомментировал один из взломов Web3-пользователь под ником Choy.
Более того, зараженные системы сканируются на наличие криптовалютных кошельков, и если вирус их находит, то запускает процесс подбора паролей и при первой возможности переводит средства на счета злоумышленников. Похищенная информация передается на серверы хакеров, а отчеты потом публикуются в Telegram-каналах, демонстрируя эффективность атак.
По предварительным подсчетам, таким образом мошенники могут зарабатывать тысячи долларов на каждой жертве.
Последствия и рекомендации
Такие атаки ставят криптопользователей в сложное положение: они фактически теряют не только конфиденциальные данные, но и накопленные средства без возможности этому помешать. Такие инциденты подрывают доверие к цифровой экономике и безопасности современных платформ по поиску работы. Многие из них уже удалили подобные объявления, но все понимают, что они появятся снова.
Ситуация получила большое распространение. Появляются всевозможные сообщества, где пользователи активно обсуждают способы борьбы с подобными рисками и помогают избавиться от вредоносных программ на зараженных устройствах.
Специалисты рекомендуют тщательно проверять легитимность компаний при поиске работы и помнить, что первичная коммуникация через мессенджеры и запросы на загрузку программы — это явные сигналы для потенциального мошенничества.
Читайте также: Распространенные схемы CryptoRom-аферистов
Всегда используйте актуальные антивирусы, регулярно меняйте пароли и обращайтесь к профессионалам по кибербезопасности при возникновении подозрений, чтобы оперативно провести диагностику системы и устранить возможные уязвимости.
Также не забывайте следить за обновлениями в области Web3-безопасности, так как мошенники постоянно совершенствуют свои методы, приспосабливаясь к современным условиям.
Уроки современного киберпространства
Случай с приложением GrassCall подчеркивает, насколько изощренными становятся методы мошенников в эпоху цифровизации, и служит напоминанием для всех, кто работает в сфере криптовалют и блокчейна. В условиях постоянного развития технологий нужно пользоваться только надежными источниками информации, проверять контакты и регулярно обновлять меры киберзащиты, чтобы обезопасить личные данные и цифровые активы от преступников.
