هشدار: کلاهبرداری استخدامی جدید در کمین کیف پول‌های کریپتو

کلاهبرداری با پیشنهادات شغلی جعلی در حوزه کریپتو

کلاهبرداران مهندسی اجتماعی از پیشنهادات شغلی جعلی و یک برنامه جدید به نام «GrassCall» برای نصب نرم‌افزارهای سرقت اطلاعات استفاده می‌کنند که به دنبال کیف پول‌های کریپتو برای تخلیه آنها هستند.

به گزارش BleepingComputer در ۲۶ فوریه، عوامل پشت این کلاهبرداری اکنون این طرح را رها کرده‌اند و وب‌سایت‌ها و حساب‌های LinkedIn مرتبط با این کلاهبرداری حذف شده‌اند، زیرا صدها نفر از افرادی که هدف قرار گرفته بودند، از جمله کسانی که گفتند کیف پول‌های کریپتوی آنها پس از دانلود GrassCall تخلیه شده بود، صحبت کرده‌اند.

گروه سایبری Crazy Evil

گروه جرایم سایبری مستقر در روسیه به نام «Crazy Evil» که شامل متخصصان مهندسی اجتماعی است، پشت این کلاهبرداری قرار دارد. این گروه به طور خاص بر سرقت کریپتو تمرکز دارد.

شرکت امنیت سایبری Recorded Future در ژانویه گزارش داد که بیش از ده کلاهبرداری فعال در شبکه‌های اجتماعی را به Crazy Evil مرتبط کرده است و اعلام کرد که این گروه به طور خاص با استفاده از فیشینگ هدفمند، قربانیان خود را در فضای کریپتو انتخاب می‌کند.

یکی از کلاهبرداری‌های Crazy Evil به نام Gatherum به نظر می‌رسد نسخه قبلی GrassCall باشد، زیرا به عنوان یک برنامه ملاقات مشابه با همان لوگو و برند ظاهر شده بود.

Cointelegraph یک حساب کاربری در شبکه اجتماعی X به نام «VibeCall» با همان لوگو و برند Gatherum و GrassCall پیدا کرد. به نظر می‌رسد این حساب از اواسط فوریه فعال شده است، اگرچه تاریخ ایجاد آن ژوئن ۲۰۲۲ است.

شرکت جعلی Chain Seeker

طرح جدید Crazy Evil شامل یک شرکت جعلی کریپتو به نام «Chain Seeker» بود که حساب‌های مختلفی در شبکه‌های اجتماعی داشت و آگهی‌های شغلی را در LinkedIn و سایت‌های محبوب جستجوی شغل Web3 مانند CryptoJobsList و WellFound ایجاد می‌کرد.

کسانی که برای این مشاغل درخواست می‌دادند، ایمیلی از این شرکت دریافت می‌کردند که از آنها می‌خواست با مدیر بازاریابی آن در Telegram تماس بگیرند. سپس از هدف خواسته می‌شد تا برنامه مخرب GrassCall را از یک وب‌سایت تحت کنترل گروه دانلود کند که اکنون پاک شده است.

واکنش کاربران

ده‌ها پست در X و LinkedIn از جویندگان کار که توسط Cointelegraph مشاهده شده است، تجربه درخواست شغل در Chain Seeker و دریافت لینک مخرب را بازگو کرده‌اند.

کاربر LinkedIn، Cristian Ghita، در ۲۶ فوریه پس از درخواست شغل در این شرکت، در این پلتفرم نوشت: «این کلاهبرداری به‌طور فوق‌العاده‌ای هماهنگ شده بود - آنها یک وب‌سایت، پروفایل‌های LinkedIn و X و کارمندان فهرست‌شده داشتند.»

Ghita افزود: «این از تقریباً همه زوایا قانونی به نظر می‌رسید. حتی ابزار ویدئو کنفرانس نیز حضور آنلاین تقریباً قابل‌باوری داشت.»

آگهی‌های شغلی ارسال‌شده توسط Chain Seeker عمدتاً توسط سایت‌های مختلف تابلو اعلانات شغلی حذف شده‌اند، به‌جز یکی که در زمان نگارش این مقاله هنوز در LinkedIn فعال بود.

حساب‌های جعلی در LinkedIn

یک وب‌سایت برای Chain Seeker یک مدیر مالی به نام Isabel Olmedo و یک مدیر منابع انسانی به نام Adriano Cattaneo را فهرست می‌کند که هر دو صفحات LinkedIn آنها پاک شده است. یک حساب کاربری به نام Artjoms Dzalbs همچنان فعال بود و خود را به عنوان مدیرعامل شرکت معرفی می‌کرد.

هشدار به معامله‌گران کریپتو و NFT

در گزارش ماه گذشته، Recorded Future به معامله‌گران کریپتو و توکن‌های غیرقابل تعویض (NFT) و حرفه‌ای‌های بازی هشدار داد که «آنها اهداف اصلی» هستند.

بسیاری از کاربران در X و LinkedIn به کسانی که معتقدند تحت تأثیر بدافزار GrassCall قرار گرفته‌اند، توصیه کردند که از یک دستگاه آلوده‌نشده برای تغییر گذرواژه‌ها و انتقال کریپتوی خود به کیف پول‌های جدید به عنوان یک اقدام احتیاطی استفاده کنند.