近日，一場(chǎng)針對(duì)Web3領(lǐng)域求職者的社交工程攻擊通過(guò)一款名為“GrassCall”的惡意會(huì)議應(yīng)用程序?qū)嵤┨摷倜嬖?，進(jìn)而安裝信息竊取惡意軟件，竊取加密貨幣錢包。數(shù)百人已受到此次騙局的影響，部分受害者報(bào)告稱其錢包中的資產(chǎn)被清空。

一個(gè)Telegram群組已成立，旨在討論此次攻擊，并幫助受影響的用戶清除Mac和Windows設(shè)備上的惡意軟件感染。

GrassCall攻擊詳情

此次攻擊由一個(gè)名為“Crazy Evil”的俄語(yǔ)“traffer團(tuán)隊(duì)”發(fā)起。該團(tuán)隊(duì)通過(guò)社交工程攻擊誘騙用戶在Windows和Mac設(shè)備上下載惡意軟件。這個(gè)網(wǎng)絡(luò)犯罪團(tuán)伙以瞄準(zhǔn)加密貨幣領(lǐng)域的用戶而聞名，通常通過(guò)社交媒體推廣虛假游戲或工作機(jī)會(huì)。

用戶被誘騙安裝軟件，這些軟件會(huì)在設(shè)備上部署信息竊取惡意軟件，用于竊取密碼、身份驗(yàn)證Cookie以及錢包信息。在與受攻擊的Web3專業(yè)人士Choy的交流中，BleepingComputer了解到，攻擊者精心打造了一個(gè)在線身份，包括一個(gè)網(wǎng)站以及X和領(lǐng)英上的社交媒體資料，偽裝成一家名為“ChainSeeker.io”的公司。

攻擊者隨后在領(lǐng)英、WellFound和CryptoJobsList（一個(gè)專注于Web3和區(qū)塊鏈職業(yè)的熱門招聘網(wǎng)站）上發(fā)布了高級(jí)職位列表。

CryptoJobsList上推廣的ChainSeeker職位  來(lái)源: Choy

申請(qǐng)職位的求職者會(huì)收到一封包含面試邀請(qǐng)的電子郵件，他們將在面試中與首席營(yíng)銷官（CMO）會(huì)面。目標(biāo)被要求通過(guò)Telegram與CMO聯(lián)系以協(xié)調(diào)會(huì)議安排。

虛假ChainSeeker公司的面試邀請(qǐng)  來(lái)源: Choy

當(dāng)用戶聯(lián)系后，虛假的CMO會(huì)告知他們需要從指定網(wǎng)站下載一個(gè)名為“GrassCall”的視頻會(huì)議軟件，并使用提供的代碼。

與虛假ChainSeeker首席營(yíng)銷官的Telegram對(duì)話  來(lái)源: Choy

GrassCall軟件從“grasscall[.]net”網(wǎng)站下載，根據(jù)訪問(wèn)者的瀏覽器用戶代理提供Windows或Mac客戶端。

GrassCall[.]net網(wǎng)站 來(lái)源: BleepingComputer

網(wǎng)絡(luò)安全研究員g0njxa告訴BleepingComputer，GrassCall網(wǎng)站是之前攻擊活動(dòng)中使用的“Gatherum”網(wǎng)站的克隆版本。這些網(wǎng)站被用于由Crazy Evil子團(tuán)隊(duì)“kevland”實(shí)施的社交工程攻擊，Recorded Future的一份報(bào)告對(duì)此進(jìn)行了描述。

“Gatherum自稱是一款A(yù)I增強(qiáng)的虛擬會(huì)議軟件，主要在社交媒體（@GatherumAI）和AI生成的Medium博客（medium[.]com/@GatherumApp）上推廣，”Recorded Future關(guān)于Crazy Evil網(wǎng)絡(luò)犯罪分子的報(bào)告中解釋道。

“負(fù)責(zé)Gatherum的traffers會(huì)獲得一份操作手冊(cè)。Gatherum由Crazy Evil子團(tuán)隊(duì)KEVLAND管理，Insikt Group內(nèi)部將其追蹤為CE-6?！?/p>

當(dāng)訪問(wèn)者嘗試下載GrassCall應(yīng)用程序時(shí)，系統(tǒng)會(huì)提示他們輸入虛假CMO在Telegram對(duì)話中分享的代碼。輸入正確的代碼后，網(wǎng)站會(huì)提供Windows版的“GrassCall.exe”客戶端[VirusTotal]或Mac版的“GrassCall_v.6.10.dmg”客戶端[VirusTotal]。當(dāng)程序被執(zhí)行時(shí)，兩者都會(huì)安裝信息竊取惡意軟件或遠(yuǎn)程訪問(wèn)木馬（RAT）。

雖然尚不清楚Windows客戶端安裝了哪種信息竊取惡意軟件，但Mac版本會(huì)安裝Atomic（AMOS）竊取程序。惡意軟件運(yùn)行時(shí)，會(huì)嘗試基于關(guān)鍵詞竊取文件、加密貨幣錢包、存儲(chǔ)在Apple鑰匙串中的密碼，以及存儲(chǔ)在網(wǎng)頁(yè)瀏覽器中的密碼和身份驗(yàn)證Cookie。

g0njxa告訴BleepingComputer，竊取的信息會(huì)上傳到操作服務(wù)器，關(guān)于所竊取信息的內(nèi)容會(huì)發(fā)布到網(wǎng)絡(luò)犯罪企業(yè)使用的Telegram頻道?！叭绻l(fā)現(xiàn)錢包，密碼會(huì)被暴力破解，資產(chǎn)會(huì)被清空，并向誘使用戶下載虛假軟件的人支付報(bào)酬，”研究員表示。

研究員稱，Crazy Evil成員的支付信息會(huì)公開(kāi)發(fā)布到Telegram上，揭示該行動(dòng)的成員可以從每個(gè)成功清空的受害者那里獲得數(shù)萬(wàn)甚至數(shù)十萬(wàn)美元的收入。

Crazy Evil在Telegram上發(fā)布的支付信息 來(lái)源: G0njxa

針對(duì)此次攻擊，CryptoJobsList刪除了相關(guān)職位列表，并警告申請(qǐng)者這是騙局，建議他們掃描設(shè)備以查找惡意軟件。

由于此次騙局引起了公眾關(guān)注，攻擊者似乎已終止了此次行動(dòng)，相關(guān)網(wǎng)站已無(wú)法訪問(wèn)。然而，對(duì)于誤裝了該軟件的用戶，必須更改所訪問(wèn)網(wǎng)站的密碼、密語(yǔ)和身份驗(yàn)證令牌，以及擁有的加密貨幣錢包的密碼。

同樣在追蹤這些活動(dòng)的網(wǎng)絡(luò)安全研究員MalwareHunterTeam告訴BleepingComputer，Crazy Evil已發(fā)起了一場(chǎng)新的攻擊，冒充一款名為Mystix的NFT區(qū)塊鏈游戲。與此前的攻擊類似，該游戲瞄準(zhǔn)加密貨幣領(lǐng)域，并使用類似的惡意軟件竊取加密貨幣錢包。