针对Web3领域求职者:GrassCall恶意软件窃取加密货币钱包
我要评论近日,针对职一场针对Web3领域求职者的域求意软社交工程攻击通过一款名为“GrassCall”的恶意会议应用程序实施虚假面试,进而安装信息窃取恶意软件,取加窃取加密货币钱包。密货数百人已受到此次骗局的币钱包影响,部分受害者报告称其钱包中的针对职资产被清空。
一个Telegram群组已成立,域求意软旨在讨论此次攻击,取加并帮助受影响的密货用户清除Mac和Windows设备上的恶意软件感染。
此次攻击由一个名为“Crazy Evil”的币钱包俄语“traffer团队”发起。该团队通过社交工程攻击诱骗用户在Windows和Mac设备上下载恶意软件。针对职这个网络犯罪团伙以瞄准加密货币领域的域求意软用户而闻名,通常通过社交媒体推广虚假游戏或工作机会。取加
用户被诱骗安装软件,密货这些软件会在设备上部署信息窃取恶意软件,币钱包用于窃取密码、身份验证Cookie以及钱包信息。在与受攻击的Web3专业人士Choy的交流中,BleepingComputer了解到,攻击者精心打造了一个在线身份,包括一个网站以及X和领英上的社交媒体资料,伪装成一家名为“ChainSeeker.io”的公司。高防服务器
攻击者随后在领英、WellFound和CryptoJobsList(一个专注于Web3和区块链职业的热门招聘网站)上发布了高级职位列表。
CryptoJobsList上推广的ChainSeeker职位 来源: Choy
申请职位的求职者会收到一封包含面试邀请的电子邮件,他们将在面试中与首席营销官(CMO)会面。目标被要求通过Telegram与CMO联系以协调会议安排。
虚假ChainSeeker公司的面试邀请 来源: Choy
当用户联系后,虚假的CMO会告知他们需要从指定网站下载一个名为“GrassCall”的视频会议软件,并使用提供的代码。
与虚假ChainSeeker首席营销官的Telegram对话 来源: Choy
GrassCall软件从“grasscall[.]net”网站下载,根据访问者的浏览器用户代理提供Windows或Mac客户端。
GrassCall[.]net网站 来源: BleepingComputer
网络安全研究员g0njxa告诉BleepingComputer,GrassCall网站是之前攻击活动中使用的“Gatherum”网站的克隆版本。这些网站被用于由Crazy Evil子团队“kevland”实施的社交工程攻击,Recorded Future的一份报告对此进行了描述。
“Gatherum自称是一款AI增强的虚拟会议软件,主要在社交媒体(@GatherumAI)和AI生成的b2b供应网Medium博客(medium[.]com/@GatherumApp)上推广,”Recorded Future关于Crazy Evil网络犯罪分子的报告中解释道。
“负责Gatherum的traffers会获得一份操作手册。Gatherum由Crazy Evil子团队KEVLAND管理,Insikt Group内部将其追踪为CE-6。”
当访问者尝试下载GrassCall应用程序时,系统会提示他们输入虚假CMO在Telegram对话中分享的代码。输入正确的代码后,网站会提供Windows版的“GrassCall.exe”客户端[VirusTotal]或Mac版的“GrassCall_v.6.10.dmg”客户端[VirusTotal]。当程序被执行时,两者都会安装信息窃取恶意软件或远程访问木马(RAT)。
虽然尚不清楚Windows客户端安装了哪种信息窃取恶意软件,但Mac版本会安装Atomic(AMOS)窃取程序。恶意软件运行时,会尝试基于关键词窃取文件、加密货币钱包、存储在Apple钥匙串中的密码,以及存储在网页浏览器中的密码和身份验证Cookie。
g0njxa告诉BleepingComputer,窃取的信息会上传到操作服务器,关于所窃取信息的内容会发布到网络犯罪企业使用的Telegram频道。“如果发现钱包,站群服务器密码会被暴力破解,资产会被清空,并向诱使用户下载虚假软件的人支付报酬,”研究员表示。
研究员称,Crazy Evil成员的支付信息会公开发布到Telegram上,揭示该行动的成员可以从每个成功清空的受害者那里获得数万甚至数十万美元的收入。
Crazy Evil在Telegram上发布的支付信息 来源: G0njxa
针对此次攻击,CryptoJobsList删除了相关职位列表,并警告申请者这是骗局,建议他们扫描设备以查找恶意软件。
由于此次骗局引起了公众关注,攻击者似乎已终止了此次行动,相关网站已无法访问。然而,对于误装了该软件的用户,必须更改所访问网站的密码、密语和身份验证令牌,以及拥有的加密货币钱包的密码。
同样在追踪这些活动的网络安全研究员MalwareHunterTeam告诉BleepingComputer,Crazy Evil已发起了一场新的攻击,冒充一款名为Mystix的NFT区块链游戏。与此前的攻击类似,该游戏瞄准加密货币领域,并使用类似的恶意软件窃取加密货币钱包。
相关文章
- 摘要:在现代化的电脑操作中,操作系统的选择和安装至关重要。虽然市面上有很多种类的操作系统可供选择,但在本文中,我们将主要关注如何使用硬盘来安装操作系统。通过这个简明易懂的硬盘安装系统教程...2025-11-04
Gartner发布当前至2024年的五大隐私趋势,包含数据本地化、AI治理等
据Gartner预测,随着全球隐私法规数量的不断增加,到2024年,大型企业机构的年均隐私预算将超过250万美元。Gartner发布了当前到2024年的五大隐私趋势,能够推动企业机构形成和完善隐私保护2025-11-04
在《中华人民共和国网络安全法》这部法律实施5周年之际,由中国网络空间安全协会、中国安全防范产品行业协会、北京网络空间安全协会、天津市网络空间安全协会、光明网共同举办的网络安全法实施5周年座谈会在线上举2025-11-04- 复制connecttotyspidentifiedby"12345678" using192.168.1.52/lntysp; 1.2.3.2025-11-04
探索Toshiba迷你电脑的性能与实用性(一款小巧便携的强力计算机,助您随时随地提升工作效率)
摘要:Toshiba迷你电脑作为一款小巧便携的计算机,以其出色的性能和实用性备受用户的喜爱。无论是在办公室、旅途中还是家庭娱乐中,Toshiba迷你电脑都能为用户带来高效的计算体验。本文...2025-11-04
有人用Deepfake冒充马斯克,说自己创立了一个加密货币交易平台,马斯克:不是本人
大数据文摘出品币圈又有新骗局辣!因为马斯克在币圈的号召力,但凡马斯克提到的数字货币,都能大涨,于是有人就盯上了马斯克。只不过和之前假装马斯克的Twitter账号相比,这次的这个骗局显得更加“真实”,直2025-11-04
最新评论