假冒Web3公司：黑客如何窃取求职者加密钱包

decrypt的艺术、时尚与娱乐中心。探索 SCENE (/scene)

🚨 警惕！ 黑客团体Crazy Evil创建了一个假Web3公司“ChainSeeker.io”，目的是诱骗加密行业的求职者下载能窃取他们钱包的恶意软件。

🔍 该团体在LinkedIn和X上发布虚假的加密行业职位广告，比如“区块链分析师”或“社交媒体经理”。此信息来自网络安全网站Bleeping Computer。 俄罗斯语系的团体，名为“疯狂邪恶”，在LinkedIn、WellFound和CryptoJobsList等网站上投放了豪华广告，以提升其广告的曝光率。申请者随后会收到来自假公司“首席人力资源官”的邮件，邀请他们通过Telegram联系假“首席营销官”（CMO）。

这位所谓的CMO会催促申请者下载并安装一种名为GrassCall的虚拟会议软件，并输入CMO提供的代码。GrassCall一旦安装，就会植入各种窃取信息的恶意软件或远程访问木马（RAT），搜索加密钱包（/?post_type=post&p=5702）、密码、Apple Keychain数据以及存储在浏览器中的认证Cookies。

根据Bleeping Computer的消息，此次活动目前已停止运行，大多数广告似乎已从社交媒体上移除。 微小发报道：
自由职业的UX开发者Cristian Ghita在LinkedIn上表示，自己受到了一起诈骗的影响。他说：“从几乎所有角度来看，这看起来都很靠谱。”

💬 他补充道：“甚至连视频会议工具也有着几乎可信的在线形象。”

受害者们为寻求支持，已经在Telegram上建立了一个支持小组。

📊 根据Recorded Future去年发布的报告，这并不是Crazy Evil首次针对加密行业进行社交工程攻击。该报告发现，该组织在社交媒体上进行了十起独立的社交工程诈骗，许多目标直指DeFi行业的从业者。 微小发报道，估计这个团伙的总收入超过了500万美元，并且自2021年以来一直在俄语论坛上招募成员。除了虚假的招聘广告，crypto行业的专业人士还需警惕其他针对性的骗局。

去年，一起复杂的社交工程骗局中，黑客利用假Zoom链接（https://decrypt.co/241422/how-to-spot-fake-zoom-links-scammers-are-using-to-steal-your-crypto）安装了窃取加密货币的恶意软件，这种手法和Crazy Evil最近的钓鱼活动如出一辙。

而在一月，研究公司SentinelLabs报告显示，与北韩有关的BlueNoroff团伙（https://decrypt.co/290782/north-korean-hackers-target-crypto-firms-in-hidden-risk-campaign）利用有关DeFi趋势和比特币价格的电子邮件更新，欺骗用户下载伪装成PDF报告的恶意软件。 每天从最新的头条新闻开始，带你体验独特的专题、播客、视频等精彩内容。🎉 你的邮箱，快来获取吧！🚀