Jak działa Crazy Evil
Grupa wykorzystuje szeroki wachlarz metod ataku, których celem jest przejęcie aktywów cyfrowych użytkowników systemów Windows i macOS. Stosowane techniki manipulacji i oszustw tożsamości pozwalają na skuteczne wykradanie danych oraz przejmowanie środków. "Specjalizując się w oszustwach tożsamości, kradzieży kryptowalut i złośliwym oprogramowaniu kradnącym informacje, Crazy Evil zatrudnia dobrze skoordynowaną sieć handlarzy — ekspertów inżynierii społecznej, których zadaniem jest przekierowywanie legalnego ruchu na złośliwe strony phishingowe" — stwierdziła Insikt Group z Recorded Future.
Cyberprzestępcy często podszywają się pod legalne platformy komunikacyjne czy inwestycyjne, tworząc przekonujące strony phishingowe, które wykradają dane dostępowe oraz klucze prywatne portfeli kryptowalutowych. Wykorzystują przy tym StealC, Atomic macOS Stealer (AMOS) oraz Angel Drainer, co pozwala im na szeroką skalę przejmować cyfrowe aktywa ofiar.
Crazy Evil działa jako rozbudowana sieć trafferów, odpowiedzialnych za kierowanie użytkowników na złośliwe strony. Organizacja istnieje od co najmniej 2021 roku, a jej centralna postać, znana na Telegramie jako @AbrahamCrazyEvil, zarządza kanałem @CrazyEvilCorp, który zgromadził tysiące subskrybentów.
W przeciwieństwie do oszustw finansowych, które koncentrują się na fałszywych sklepach internetowych, Crazy Evil bezpośrednio atakuje aktywa cyfrowe użytkowników. Metody działania opierają się na szerokim arsenale złośliwego oprogramowania oraz oszustw phishingowych. "Monetyzują ruch do tych operatorów botnetów, którzy zamierzają narazić użytkowników na niebezpieczeństwo na szeroką skalę lub konkretnie w regionie lub systemie operacyjnym" – informuje francuska firma zajmująca się cyberbezpieczeństwem Sekoia.
Grupa składa się z kilku podzespołów, które odpowiadają za różne obszary działania. AVLAND koncentruje się na oszustwach związanych z ofertami pracy i inwestycjami, rozpowszechniając StealC i AMOS. TYPED dystrybuuje AMOS pod pozorem narzędzi AI. DELAND propaguje AMOS jako platformę rozwoju społeczności, a ZOOMLAND podszywa się pod Zoom i WeChat. DEFI zajmuje się rozpowszechnianiem AMOS pod pretekstem zarządzania aktywami cyfrowymi, a KEVLAND wykorzystuje fałszywe narzędzia do wideokonferencji.
Zagrożenie dla użytkowników kryptowalut
Oszustwa prowadzone przez Crazy Evil przyniosły grupie nielegalne przychody liczone w milionach dolarów i dotknęły dziesiątki tysięcy użytkowników. Kampanie phishingowe, fałszywe strony internetowe oraz aktywność w mediach społecznościowych pozwalają przestępcom na dalsze rozszerzanie zasięgu ataków.
Nowe oszustwa, takie jak exit scam, powiązane z grupami Markopolo i CryptoLove, dodatkowo wzmacniają ich wpływy. W październiku 2024 r. przeprowadzili kampanię ClickFix, podszywając się pod Google Meet i przejmując dane użytkowników.
Eksperci Recorded Future ostrzegają: "W miarę jak Crazy Evil odnosi sukcesy, inne podmioty zajmujące się cyberprzestępczością prawdopodobnie zaczną naśladować jego metody, zmuszając zespoły ds. bezpieczeństwa do zachowania ciągłej czujności, aby zapobiec powszechnym naruszeniom i erozji zaufania w sektorach kryptowalut, gier i oprogramowania".
Ostatnie analizy wskazują na powiązanie Crazy Evil z systemem dystrybucji ruchu TAG-124, który jest wykorzystywany przez inne grupy cyberprzestępcze, w tym operatorów ransomware Rhysida i Interlock, a także grupy TA866 i SocGholish. Mechanizm ten umożliwia przekierowanie użytkowników na fałszywe strony z rzekomymi aktualizacjami Google Chrome, które w rzeczywistości infekują urządzenia złośliwym oprogramowaniem.
Firma Recorded Future zauważa, że współdzielenie TAG-124 wzmacnia powiązania między atakami ransomware a metodami dystrybucji zagrożeń. "JavaScript załadowany w przeglądarce użytkownika generuje fałszywą stronę w ramce iframe" – wskazuje badacz c/side Himanshu Anand. Wykorzystywane są przestarzałe wersje WordPressa i popularnych wtyczek, co utrudnia wykrycie ataków.
Działania Crazy Evil pokazują rosnące zagrożenie dla użytkowników kryptowalut oraz platform Web3. Eksperci podkreślają, że dalszy rozwój metod tej grupy wymusi na firmach i użytkownikach wdrożenie jeszcze skuteczniejszych strategii ochrony przed phishingiem i malwarem.
