هشدار: کلاهبرداری استخدامی در کریپتو با بدافزار سرقت کیف پول

هکرهای «Crazy Evil» با ایجاد شرکت جعلی Web3 کیف پول متقاضیان کار را خالی کردند

گروه هکری «Crazy Evil» یک شرکت جعلی Web3 به نام "ChainSeeker.io" ایجاد کردند تا متقاضیان کار در صنعت کریپتو را فریب داده و آنها را وادار به دانلود بدافزارهای خالی‌کننده کیف پول کنند. این گروه پروفایل‌های LinkedIn و X را برای تبلیغ مشاغل استاندارد صنعت کریپتو، مانند «تحلیلگر بلاکچین» یا «مدیر رسانه‌های اجتماعی» راه‌اندازی کردند.

تبلیغات جعلی و فریب متقاضیان

این گروه روسی‌زبان، که به نام Crazy Evil شناخته می‌شود، همچنین تبلیغات پرمیوم در وب‌سایت‌هایی مانند LinkedIn، WellFound و CryptoJobsList انجام دادند تا دیده شدن آگهی‌های خود را افزایش دهند. متقاضیان سپس ایمیلی از «مدیر منابع انسانی» جعلی این شرکت دریافت می‌کردند که از آنها دعوت می‌کرد با «مدیر بازاریابی» جعلی در تلگرام تماس بگیرند.

نصب بدافزار از طریق نرم‌افزار کنفرانس جعلی

این «مدیر بازاریابی» جعلی سپس آنها را ترغیب می‌کرد تا یک نرم‌افزار کنفرانس مجازی به نام GrassCall را دانلود و نصب کنند و کدی را که توسط او ارائه شده بود وارد کنند. GrassCall سپس انواع بدافزارهای سرقت اطلاعات یا تروجان‌های دسترسی از راه دور (RATs) را نصب می‌کرد که به جستجوی کیف پول‌های کریپتو، رمزهای عبور، داده‌های Apple Keychain و کوکی‌های احراز هویت ذخیره‌شده در مرورگرهای وب می‌پرداختند.

پایان کمپین و واکنش قربانیان

این کمپین در زمان نگارش این مطلب دیگر فعال نیست و بیشتر تبلیغات از شبکه‌های اجتماعی حذف شده‌اند. کریستین گیتا، یک توسعه‌دهنده UX فریلنسر که ادعا می‌کند تحت تأثیر این کلاهبرداری قرار گرفته است، در پستی در LinkedIn گفت: «از تقریباً همه جهات قانونی به نظر می‌رسید.» او افزود: «حتی ابزار ویدئو کنفرانس نیز حضور آنلاین تقریباً قابل‌باوری داشت.» برخی از افرادی که تحت تأثیر این کلاهبرداری قرار گرفته‌اند، گرد هم آمده‌اند تا یک گروه پشتیبانی برای قربانیان در تلگرام ایجاد کنند.

سابقه حملات مهندسی اجتماعی

طبق گزارشی که سال گذشته توسط Recorded Future تهیه شد، این اولین حمله مهندسی اجتماعی نیست که Crazy Evil علیه صنعت کریپتو انجام داده است. Recorded Future ده کلاهبرداری مهندسی اجتماعی جداگانه را که توسط این گروه در شبکه‌های اجتماعی انجام شده بود، شناسایی کرد که بسیاری از آنها به‌طور خاص افراد شاغل در صنعت DeFi را هدف قرار داده بودند. این گزارش درآمد مادام‌العمر این گروه را بیش از ۵ میلیون دلار تخمین می‌زند و معتقد است که از سال ۲۰۲۱ در حال جذب نیرو در تابلوهای پیام روسی‌زبان بوده‌اند.

سایر کلاهبرداری‌های هدفمند در صنعت کریپتو

علاوه بر آگهی‌های شغلی جعلی، کلاهبرداری‌های هدفمند دیگری نیز وجود دارد که متخصصان صنعت کریپتو باید از آنها آگاه باشند. سال گذشته، یک کلاهبرداری مهندسی اجتماعی پیچیده باعث شد هکرها از لینک‌های جعلی Zoom برای نصب بدافزارهای سرقت کریپتو استفاده کنند و از تاکتیک‌های مشابه کمپین فیشینگ اخیر Crazy Evil بهره ببرند. در ژانویه، شرکت تحقیقاتی SentinelLabs نشان داد که گروه BlueNoroff، که با کره شمالی مرتبط است، از به‌روزرسانی‌های ایمیلی در مورد روندهای DeFi و قیمت بیت کوین برای فریب کاربران به دانلود بدافزارهای مبدل به‌عنوان گزارش‌های PDF استفاده کرده است.