Lừa Đảo Công Ty Web3 Giả Mạo của Crazy Evil

Nhóm hacker Crazy Evil đã tạo ra một công ty Web3 giả mạo mang tên ChainSeeker.io để lừa đảo những người tìm việc trong ngành tiền điện tử tải về phần mềm độc hại hút tiền trong ví.

Nhóm này đã thiết lập các hồ sơ trên LinkedIn và X quảng cáo về các công việc tiêu chuẩn trong ngành tiền điện tử, chẳng hạn như “Phân Tích Blockchain” hoặc “Quản Lý Truyền Thông Xã Hội”, theo trang web an ninh mạng Bleeping Computer.

Nhóm nói tiếng Nga, được biết đến với cái tên Crazy Evil, đã đặt quảng cáo cao cấp trên các trang như LinkedIn, WellFound, và CryptoJobsList để tăng cường độ hiển thị của quảng cáo. Các ứng viên nhận được email từ so-called “giám đốc nhân sự” của công ty giả, mời họ liên hệ với “giám đốc tiếp thị (CMO)” giả mạo trên Telegram.

CMO giả sẽ khuyến khích họ tải về và cài đặt một phần mềm họp ảo mang tên GrassCall và nhập mã do CMO cung cấp. Phần mềm này sau đó sẽ cài đặt nhiều phần mềm độc hại đánh cắp thông tin.
malware** hoặc trojan truy cập từ xa (RATs), nhắm mục tiêu vào ví tiền điện tử, mật khẩu, dữ liệu Apple Keychain và cookie xác thực được lưu trữ trong trình duyệt web.

Tính đến thời điểm viết bài, chiến dịch này không còn hoạt động và hầu hết quảng cáo đã bị gỡ bỏ khỏi mạng xã hội, theo Bleeping Computer.

Cristian Ghita, một nhà phát triển UX tự do đã tuyên bố bị ảnh hưởng bởi lừa đảo, cho biết, “Nó trông hợp pháp từ hầu hết mọi góc nhìn” trong một bài đăng trên LinkedIn. Ông thêm, “Ngay cả công cụ hội nghị video cũng có sự hiện diện trực tuyến gần như đáng tin cậy.”

Một số nạn nhân của vụ lừa đảo này đã thành lập một nhóm hỗ trợ cho những người khác bị ảnh hưởng trên Telegram.

Theo một báo cáo của Recorded Future, đây không phải là cuộc tấn công xã hội đầu tiên nhắm vào ngành công nghiệp tiền điện tử bởi Crazy Evil. Báo cáo phát hiện ra mười trò lừa đảo riêng biệt được nhóm thực hiện trên mạng xã hội, nhiều trò trong số đó nhằm vào các cá nhân làm việc trong lĩnh vực DeFi.

Báo cáo ước tính doanh thu trọn đời của nhóm này đạt hơn 5 triệu đô la.
** và gợi ý rằng nó đã tuyển dụng trên các diễn đàn tiếng Nga từ năm 2021. Ngoài các quảng cáo việc làm giả, các chuyên gia trong ngành công nghiệp crypto phải cảnh giác với những trò lừa đảo nhắm mục tiêu khác.

Năm ngoái, một trò lừa đảo kỹ thuật xã hội tương tự đã sử dụng các liên kết Zoom giả để cài đặt phần mềm độc hại đánh cắp crypto, sử dụng các chiến thuật tương tự như những nỗ lực lừa đảo gần đây của Crazy Evil.

Vào tháng 1, nhóm nghiên cứu SentinelLabs đã tiết lộ cách mà nhóm có liên quan đến Bắc Triều Tiên BlueNoroff đã sử dụng các bản cập nhật email về xu hướng DeFi và giá bitcoin để lừa người dùng tải xuống phần mềm độc hại được ngụy trang dưới dạng báo cáo PDF.