Những kẻ lừa đảo khai thác các lời mời làm việc giả mạo bằng phần mềm độc hại để nhắm mục tiêu vào ví tiền điện tử

Theo Cointelegraph, một nhóm tội phạm mạng có tên "Crazy Evil" đã sử dụng các lời mời làm việc giả mạo và một ứng dụng độc hại có tên "GrassCall" để cài đặt phần mềm được thiết kế để đánh cắp thông tin từ ví tiền điện tử. Vụ lừa đảo, được cho là đã bị hủy bỏ, bao gồm việc tạo danh sách việc làm giả mạo và tài khoản mạng xã hội để dụ nạn nhân tải xuống phần mềm độc hại.

Nhóm này có trụ sở tại Nga, bao gồm các chuyên gia kỹ thuật xã hội, thường được gọi là "nhóm buôn lậu", những người tập trung vào việc nhắm mục tiêu vào lĩnh vực tiền điện tử. Vào tháng 1, công ty an ninh mạng Recorded Future đã liên kết hơn mười vụ lừa đảo đang diễn ra trên phương tiện truyền thông xã hội với Crazy Evil, lưu ý rằng nhóm này đặc biệt nhắm mục tiêu vào không gian tiền điện tử bằng các chiến thuật lừa đảo qua email được thiết kế riêng. Một trong những vụ lừa đảo trước đó của họ, "Gatherum", tương tự như GrassCall, sử dụng cùng một logo và thương hiệu để lừa đảo người dùng.

Cointelegraph phát hiện ra một tài khoản X có tên "VibeCall" có cùng thương hiệu với Gatherum và GrassCall, hoạt động vào giữa tháng 2 mặc dù được tạo vào tháng 6 năm 2022. Kế hoạch mới nhất của Crazy Evil liên quan đến một công ty tiền điện tử hư cấu có tên là "Chain Seeker", công ty này đã đăng danh sách việc làm trên LinkedIn và các nền tảng tìm kiếm việc làm phổ biến trên Web3 như CryptoJobsList và WellFound. Người nộp đơn được hướng dẫn liên hệ với giám đốc tiếp thị của công ty trên Telegram, người sau đó sẽ hướng dẫn họ tải xuống ứng dụng GrassCall từ một trang web do nhóm này kiểm soát.

Nhiều người tìm việc đã kể lại trải nghiệm của họ trên X và LinkedIn, mô tả cách họ nộp đơn xin việc tại Chain Seeker chỉ để nhận được liên kết độc hại. Người dùng LinkedIn Cristian Ghita đã lưu ý đến sự tinh vi của trò lừa đảo, nhấn mạnh đến sự hiện diện của một trang web, hồ sơ truyền thông xã hội và danh sách nhân viên khiến hoạt động này có vẻ hợp pháp. Mặc dù hầu hết các quảng cáo việc làm đã bị xóa khỏi các trang web việc làm khác nhau, một danh sách vẫn hoạt động trên LinkedIn tại thời điểm báo cáo.

Trang web của Chain Seeker liệt kê một giám đốc tài chính tên là Isabel Olmedo và một giám đốc nhân sự tên là Adriano Cattaneo, cả hai đều đã xóa hồ sơ LinkedIn của họ. Tuy nhiên, một tài khoản có tên Artjoms Dzalbs vẫn hoạt động, tự nhận mình là CEO của công ty. Người dùng LinkedIn Riley Robbins phát hiện ra rằng nhóm điều hành được cho là đã sử dụng hình ảnh giống với nhiều nhân vật trực tuyến khác nhau.

Báo cáo của Recorded Future tháng trước đã cảnh báo rằng các nhà giao dịch tiền điện tử và token không thể thay thế (NFT), cũng như các chuyên gia chơi game, là mục tiêu chính của những vụ lừa đảo như vậy. Người dùng trên X và LinkedIn đã khuyên những người có khả năng bị ảnh hưởng bởi phần mềm độc hại GrassCall nên thay đổi mật khẩu và chuyển tiền điện tử của họ sang ví mới bằng thiết bị không bị nhiễm như một biện pháp phòng ngừa.