Imagine estar à procura de um novo emprego na área web3 e, em vez de uma oportunidade, encontrar uma armadilha que esvazia sua carteira de criptomoedas. É o que está acontecendo com um novo malware, o Malware GrassCall para crypto, que tem como alvo centenas de profissionais da área através de um aplicativo de reunião malicioso. Vamos entender como essa ameaça funciona e como se proteger.
De acordo com o Bleeping Computer, um grupo de hackers russo conhecido como “Crazy Evil” está por trás de uma campanha de engenharia social que atrai candidatos a emprego com entrevistas falsas. Os criminosos usam um aplicativo de reunião malicioso que instala um malware para roubar carteiras de criptomoedas.
O ataque foi inicialmente alertado por vários usuários afetados no Telegram, ajudando as vítimas a lidar com a perda. O malware foi projetado para infectar dispositivos Mac e Windows.
Táticas de Engenharia Social do GrassCall
Choy Kwok, um profissional da web3, postou no X alertando sobre o golpe. Ele aconselhou os usuários a não baixarem nenhum aplicativo de reunião solicitado por recrutadores que se passam pela Chain Seeker.
Leia também:
A Crypto Jobs List, um portal de empregos web3, continha vários anúncios de emprego para uma plataforma baseada em blockchain chamada ChainSeeker.io. Mal sabiam os candidatos que golpistas estavam por trás do esquema. Os empregos também foram listados no LinkedIn e no X, a partir de perfis falsos com aparência legítima.
“Marcar um horário para conversar com eles o levará ao GrassCall. Não baixe nada”, escreveu Kwok.
Os candidatos que se inscreveram para empregos através do portal foram solicitados a entrar em contato com o Diretor de Marketing da empresa via Telegram para coordenar a reunião. Eles eram então solicitados a baixar um software de reunião em vídeo chamado GrassCall, com um link para o website e um código de chamada. O website “grasscall[.]net” levava a um link de download que descrevia o GrassCall como uma “solução de IA revolucionária no campo das comunicações”.
Atomic Stealer: O Malware GrassCall para crypto que Drena Carteiras
De acordo com o pesquisador de segurança cibernética g0njxa, o website do GrassCall é um clone de um website “Gatherum”, que foi usado pelo mesmo grupo russo em campanhas anteriores.
O aplicativo GrassCall solicita a inserção de um código compartilhado pelo falso Diretor de Marketing e instala trojans de acesso remoto (RATs). O RAT então instala o malware Atomic (AMOS) Stealer em Macs.
“O rat é usado para criar persistência na máquina, adicionar um keylogger para também obter senhas e implantar seed phishing para as hard wallets“, disse G0njxa ao Bleeping Computer.
Uma vez que o malware assume o controle do computador, ele tenta roubar arquivos com base em palavras-chave, carteiras de criptomoedas e senhas. Se uma carteira de criptomoedas for encontrada com a senha extraída, os ativos na carteira são drenados, explicou ele.
Este ataque ocorre paralelamente a uma recente campanha de malware generalizada que teve como alvo usuários no GitHub, alertada pela empresa de segurança cibernética Kaspersky.
Este conteúdo foi auxiliado por Inteligência Artificiado, mas escrito e revisado por um humano.
Via Cryptonews
