موقع الصالح : وظائف وهمية على LinkedIn واختراق الأجهزة عبر تطبيق مكالمات الفيديو

كشف تقرير صادر BleepingComputer، عن تفاصيل واقعة احتيال استهدفت المستخدمين على تطبيق LinkedIn وتطبيق مكالمات الفيديو، فقد نجح محتالون من اصطياد ضحاياهم بعد نشر  إعلانات وظائف وهمية على LinkedIn ومنصات أخرى.

بدأت واقعة الاحتيال بتعرض عدد من المستخدمين ضحايا لجرائم نصب الكترونى بعدما نجح المحتالون في خداعهم بنشر اعلانات وظائف عبر التطبيق، وعندما يبدأ الضحية في الاستفسار عن الاعلان، يقنعهم المحتالون بتنزيل تطبيق مكالمات فيديو ضار يسمى GrassCall، والذي من خلاله يتمكنون من سرقة معلومات شديدة الحساسية، بما في ذلك تفاصيل البنوك، المخزنة على هواتف الأشخاص وأجهزة الكمبيوتر.

وبحسب ما ورد، نجح المحتالون حتى الآن في استهداف مئات الأشخاص ومن بينهم العديد من الأشخاص الذين خسروا أموالهم، ويستطيع برنامج GrassCall الخبيث إصابة أجهزة Mac وWindows.

وفي إطار الكشف عن مزيد من التفاصيل حول عملية الاحتيال، يكشف التقرير أن هذه الحملة الإلكترونية تم تدبيرها من قبل مجموعة جرائم إلكترونية ناطقة بالروسية تُعرف باسم “Crazy Evil”.

ويقال إن هذه المجموعة تشتهر بإجراء هجمات الهندسة الاجتماعية، حيث تخدع المستخدمين لتحميل برامج ضارة ، ويُعتقد أن مجموعة فرعية داخل Crazy Evil، تُدعى “Kevland”، هي التي أدارت هذه العملية على وجه الخصوص.

وبدأت المجموعة هذه الخدعة من خلال نشر قوائم وظائف وهمية على منصات شهيرة مثل LinkedIn وWellFound وCryptoJobsList ، وأنشأ مجرمو الإنترنت، الذين يعملون تحت ستار شركة وهمية تسمى “ChainSeeker.io”، حضورًا متقنًا على الإنترنت، مكتملًا بموقع ويب احترافي وملفات تعريف على وسائل التواصل الاجتماعي على منصات مثل X (Twitter سابقًا) وLinkedIn ، وبحسب ما ورد، تم تصميم هذه الملفات التعريفية لتبدو شرعية، وتتميز بملفات تعريف وهمية للموظفين وأوصاف وظيفية مصممة لجذب المرشحين فى مجال Web3.

بمجرد أن تقدم المتقدمون للوظائف، تلقوا بريدًا إلكترونيًا يدعوهم إلى مقابلة افتراضية، وطلب منهم البريد الإلكتروني الاتصال بمسؤول التسويق الرئيسي للشركة عبر Telegram لتحديد موعد للاجتماع ، وأثناء المحادثة وجه مسؤول التسويق الرئيسي المزيف المرشحين لتنزيل تطبيق مؤتمرات الفيديو المسمى “GrassCall”.

ويعد تطبيق GrassCall من التطبيقات الضارة، فبمجرد تثبيته على هاتف أو جهاز كمبيوتر، يستخدمه مجرمو الإنترنت والمحتالون لسرقة التفاصيل المخزنة على الجهاز، وبحسب ما ورد، يقوم تطبيق GrassCall بتثبيت أنواع مختلفة من البرامج الضارة بناءً على نظام التشغيل Windows، ويقوم بتثبيت حصان طروادة للوصول عن بعد (RAT) وسارق معلومات يسمى Rhadamanthys ، أما على نظام التشغيل Mac، فإنه يقوم بتثبيت Atomic Stealer (AMOS)، وهو برنامج ضار مصمم خصيصًا لسرقة البيانات الهامة.

وبمجرد تثبيته، يقوم البرنامج الخبيث بفحص الجهاز بحثًا عن معلومات حساسة، بما في ذلك تفاصيل محفظة العملة المشفرة، وكلمات المرور المخزنة في المتصفحات أو مديري كلمات المرور، وملفات تعريف الارتباط للمصادقة للحسابات عبر الإنترنت، والملفات التي تحتوي على كلمات رئيسية تتعلق بالعملات المشفرة أو التمويل.

وبحسب باحث الأمن السيبراني g0njxa، قام المحتالون بنشر تفاصيل الدفع على Telegram، وكشفوا عن المبلغ الذي ربحوه من كل ضحية.

ويؤكد التقرير أنه بعد الكشف عن عملية الاحتيال، قامت CryptoJobsList بإزالة قوائم الوظائف المزيفة وحذرت المستخدمين من النشاط الاحتيالى،  ومنذ ذلك الحين تم إغلاق موقع GrassCall.

بالإضافة إلى ذلك، يحذر خبراء الأمن السيبراني من أن عمليات احتيال مماثلة قد تظهر مع استمرار مجرمو الإنترنت في استغلال الاهتمام المتزايد بـ Web3 والعملات المشفرة.