Podle Cointelegraphu, kyberkriminální skupina známá jako "Crazy Evil" používala falešné pracovní nabídky a škodlivou aplikaci nazvanou "GrassCall" k instalaci softwaru navrženého k krádeži informací z kryptoměnových peněženek. Podvod, který údajně byl opuštěn, zahrnoval vytváření falešných pracovních nabídek a účtů na sociálních médiích, aby nalákal oběti ke stažení malwaru.
Skupina, která sídlí v Rusku, se skládá ze specialistů na sociální inženýrství, často nazývaných "traffer team," kteří se zaměřují na cílení na sektor kryptoměn. V lednu spojila kybernetická bezpečnostní firma Recorded Future více než deset aktivních podvodů na sociálních médiích s Crazy Evil, přičemž poznamenala, že skupina se specificky zaměřuje na prostor kryptoměn s cílenými technikami spearphishingu. Jeden z jejich předchozích podvodů, "Gatherum," byl podobný GrassCall, používal stejné logo a branding k oklamání uživatelů.
Cointelegraph objevil účet na X s názvem "VibeCall," který sdílel stejné branding jako Gatherum a GrassCall, a stal se aktivním v polovině února, přestože byl vytvořen v červnu 2022. Nejnovější schéma Crazy Evil zahrnovalo fiktivní kryptoměnovou společnost s názvem "Chain Seeker," která zveřejnila pracovní nabídky na LinkedIn a populárních platformách pro hledání zaměstnání Web3, jako jsou CryptoJobsList a WellFound. Uchazeči byli instruováni, aby kontaktovali vedoucího marketingu společnosti na Telegramu, který je pak nasměroval k stažení aplikace GrassCall z webové stránky řízené skupinou.
Mnoho uchazečů o zaměstnání vyprávělo své zkušenosti na X a LinkedIn, popisujíc, jak se ucházeli o pozice v Chain Seeker, jen aby obdrželi škodlivý odkaz. Uživatel LinkedIn Cristian Ghita poznamenal na sofistikovanost podvodu, zdůrazňující přítomnost webové stránky, profilů na sociálních médiích a uvedených zaměstnanců, které činily operaci zdánlivě legitimní. Ačkoliv většina pracovních nabídek byla odstraněna různými pracovními portály, jedna nabídka zůstala aktivní na LinkedIn v době zprávy.
Webová stránka Chain Seeker uvedla na vedoucí pozici finančního ředitele jménem Isabel Olmedo a manažera lidských zdrojů jménem Adriano Cattaneo, jejichž profily na LinkedIn byly smazány. Účet pod jménem Artjoms Dzalbs však zůstal aktivní a identifikoval se jako generální ředitel společnosti. Uživatel LinkedIn Riley Robbins zjistil, že údajný výkonný tým používal podoby různých online osobností.
Zpráva společnosti Recorded Future z minulého měsíce varovala, že obchodníci s kryptoměnami a nezaměnitelnými tokeny (NFT), stejně jako profesionálové v oblasti her, jsou hlavními cíli pro takové podvody. Uživatelé na X a LinkedIn radili těm, kteří by mohli být ovlivněni malwarem GrassCall, aby změnili svá hesla a převedli své kryptoměny do nových peněženek pomocí nezasaženého zařízení jako opatření.