Il gruppo di cybercriminali noto come Crazy Evil, attivo dal 2021, ha attirato l'attenzione per le sue operazioni fraudolente focalizzate sul furto di identità e criptovalute. Questo gruppo, che parla russo, è stato collegato a oltre 10 truffe attive sui social media, utilizzando una vasta gamma di esche personalizzate per ingannare le vittime e indurle a installare malware come StealC, AMOS (Atomic macOS Stealer) e Angel Drainer. L'obiettivo principale di Crazy Evil è il furto di dati personali e criptovalute attraverso un sofisticato sistema di ingegneria sociale che reindirizza il traffico legittimo verso pagine di phishing dannose.

Operazioni di Crazy Evil

Secondo l'Insikt Group di Recorded Future, Crazy Evil opera come una rete ben coordinata di "traffers", esperti di ingegneria sociale che generano traffico di alta qualità verso operatori di botnet intenzionati a compromettere gli utenti su scala globale. Questo traffico viene monetizzato tramite operatori di botnet che mirano a compromettere gli utenti, sia su larga scala che in modo specifico per una regione o un sistema operativo. L'uso di una varietà di malware da parte di Crazy Evil indica che il gruppo sta prendendo di mira sia gli utenti Windows che macOS, rappresentando una minaccia significativa per l'ecosistema della finanza decentralizzata.

Attività e Guadagni Illeciti

Oltre al furto di criptovalute e NFT, Crazy Evil è noto per aver compromesso decine di migliaia di dispositivi in tutto il mondo, generando oltre 5 milioni di dollari di entrate illecite. È diventato più prominente dopo la chiusura di due gruppi di crimine informatico, Markopolo e CryptoLove, noti per le loro campagne di phishing sofisticate. Crazy Evil si distingue per la sua capacità di orchestrare catene di attacco che distribuiscono malware e drainer di portafogli, offrendo manuali e guida per i suoi affiliati e servizi di crypter per payload malevoli.

Struttura Organizzativa

Il gruppo è organizzato in sei sottoteam, ciascuno specializzato in una specifica truffa volta a ingannare le vittime tramite siti web falsi che diffondono il malware AMOS sotto false pretese. Questi includono offerte di lavoro e investimenti, software di intelligenza artificiale, piattaforme di sviluppo comunitario, e strumenti per la gestione di asset digitali. L'uso di Telegram come piattaforma operativa principale è un altro elemento distintivo, con canali dedicati per comunicazioni operative e tecniche.

Impatto e Futuro

Come Crazy Evil continua a ottenere successi, altre entità criminali potrebbero emularne le metodologie, costringendo i team di sicurezza a rimanere vigili per prevenire violazioni diffuse e il deterioramento della fiducia nei settori delle criptovalute, dei giochi e del software.