Secondo Cointelegraph, un gruppo di criminalità informatica noto come "Crazy Evil" ha utilizzato false offerte di lavoro e un'app dannosa chiamata "GrassCall" per installare software progettato per rubare informazioni dai portafogli di criptovaluta. La truffa, che secondo quanto riferito è stata abbandonata, prevedeva la creazione di falsi annunci di lavoro e account di social media per indurre le vittime a scaricare il malware.
Il gruppo, con sede in Russia, è composto da specialisti di ingegneria sociale, spesso definiti "traffer team", che si concentrano sul colpire il settore delle criptovalute. A gennaio, la società di sicurezza informatica Recorded Future ha collegato oltre dieci truffe attive sui social media a Crazy Evil, notando che il gruppo ha preso di mira specificamente lo spazio delle criptovalute con tattiche di spear phishing su misura. Una delle loro truffe precedenti, "Gatherum", era simile a GrassCall, utilizzando lo stesso logo e marchio per ingannare gli utenti.
Cointelegraph ha scoperto un account X denominato "VibeCall" che condivideva lo stesso marchio di Gatherum e GrassCall, diventando attivo a metà febbraio nonostante fosse stato creato a giugno 2022. L'ultimo schema di Crazy Evil coinvolgeva una fittizia società di criptovalute denominata "Chain Seeker", che pubblicava annunci di lavoro su LinkedIn e su popolari piattaforme di ricerca di lavoro Web3 come CryptoJobsList e WellFound. Ai candidati veniva chiesto di contattare il responsabile marketing dell'azienda su Telegram, che li avrebbe poi indirizzati a scaricare l'app GrassCall da un sito Web controllato dal gruppo.
Numerosi candidati hanno raccontato le loro esperienze su X e LinkedIn, descrivendo come hanno fatto domanda per posizioni presso Chain Seeker solo per ricevere il link dannoso. L'utente di LinkedIn Cristian Ghita ha notato la sofisticatezza della truffa, evidenziando la presenza di un sito web, profili sui social media e dipendenti elencati che facevano apparire l'operazione legittima. Nonostante la rimozione della maggior parte degli annunci di lavoro da parte di vari siti di bacheche di lavoro, un annuncio è rimasto attivo su LinkedIn al momento della segnalazione.
Il sito web di Chain Seeker elencava un direttore finanziario di nome Isabel Olmedo e un responsabile delle risorse umane di nome Adriano Cattaneo, entrambi con i profili LinkedIn cancellati. Tuttavia, un account con il nome Artjoms Dzalbs è rimasto attivo, identificandosi come CEO dell'azienda. L'utente LinkedIn Riley Robbins ha scoperto che il presunto team esecutivo ha utilizzato le sembianze di varie personalità online.
Il rapporto di Recorded Future del mese scorso ha avvertito che i trader di criptovalute e token non fungibili (NFT), così come i professionisti del gaming, sono i principali obiettivi di tali truffe. Gli utenti di X e LinkedIn hanno consigliato a coloro che sono potenzialmente colpiti dal malware GrassCall di cambiare le proprie password e trasferire le proprie criptovalute su nuovi wallet utilizzando un dispositivo non infetto come precauzione.