EncryptHub: attacchi sofisticati e nuove minacce
Il gruppo di cybercriminali noto come EncryptHub è stato osservato mentre orchestrava campagne di phishing sofisticate per distribuire information stealers e ransomware. Inoltre, stanno lavorando su un nuovo prodotto chiamato EncryptRAT. Secondo un nuovo rapporto di Outpost24 KrakenLabs condiviso con The Hacker News, EncryptHub ha preso di mira gli utenti di applicazioni popolari distribuendo versioni trojanizzate. Inoltre, il gruppo ha utilizzato servizi di distribuzione Pay-Per-Install (PPI) di terze parti.
Metodi di attacco e errori operativi
La società di cybersecurity ha descritto EncryptHub come un gruppo di hacker che commette errori di sicurezza operativa e che incorpora exploit per vulnerabilità di sicurezza popolari nelle loro campagne di attacco. Tracciato anche dalla società svizzera PRODAFT come LARVA-208, EncryptHub è stato valutato come attivo verso la fine di giugno 2024. Utilizza una varietà di approcci che vanno dal phishing via SMS (smishing) al phishing vocale (vishing) per ingannare i potenziali bersagli e indurli a installare software di monitoraggio e gestione remota (RMM).
Affiliazioni e tattiche di ingegneria sociale
La società ha riferito a The Hacker News che il gruppo di spear-phishing è affiliato con i gruppi di ransomware RansomHub e Blacksuit e ha utilizzato tattiche avanzate di ingegneria sociale per compromettere obiettivi di alto valore in diversi settori. PRODAFT ha dichiarato che l’attore solitamente crea un sito di phishing che prende di mira l’organizzazione per ottenere le credenziali VPN della vittima. La vittima viene quindi contattata e invitata a inserire i propri dati nel sito di phishing per problemi tecnici, fingendosi un team IT o un helpdesk.
Hosting e distribuzione di malware
I siti di phishing sono ospitati su provider di hosting a prova di proiettile come Yalishand. Una volta ottenuto l’accesso, EncryptHub procede a eseguire script PowerShell che portano al dispiegamento di malware stealer come Fickle, StealC e Rhadamanthys. L’obiettivo finale degli attacchi, nella maggior parte dei casi, è distribuire ransomware e richiedere un riscatto.
Applicazioni trojanizzate e catena di distribuzione
Uno dei metodi comuni adottati dagli attori delle minacce riguarda l’uso di applicazioni trojanizzate mascherate da software legittimo per l’accesso iniziale. Queste includono versioni contraffatte di QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 e Palo Alto Global Protect. Queste applicazioni trappola, una volta installate, innescano un processo a più fasi che funge da veicolo di consegna per i payload di fase successiva come Kematian Stealer per facilitare il furto di cookie.
Servizi PPI e feedback positivo
Almeno dal 2 gennaio 2025, un componente cruciale della catena di distribuzione di EncryptHub è stato l’uso di un servizio PPI di terze parti chiamato LabInstalls, che facilita installazioni di malware in massa per clienti paganti a partire da $10 (100 carichi) fino a $450 (10.000 carichi). EncryptHub ha confermato di essere un loro cliente lasciando feedback positivo nel thread di vendita di LabInstalls sul forum sotterraneo di lingua russa di alto livello.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!