sabato, 15 Marzo 2025
spot_imgspot_imgspot_imgspot_img
HomeInformaticaCyber SecurityEncrypthub distribuisce ransomware e stealer tramite app trojanizzate, servizi PPI e phishing

Encrypthub distribuisce ransomware e stealer tramite app trojanizzate, servizi PPI e phishing

EncryptHub: attacchi sofisticati e nuove minacce

Il gruppo di cybercriminali noto come EncryptHub è stato osservato mentre orchestrava campagne di phishing sofisticate per distribuire information stealers e ransomware. Inoltre, stanno lavorando su un nuovo prodotto chiamato EncryptRAT. Secondo un nuovo rapporto di Outpost24 KrakenLabs condiviso con The Hacker News, EncryptHub ha preso di mira gli utenti di applicazioni popolari distribuendo versioni trojanizzate. Inoltre, il gruppo ha utilizzato servizi di distribuzione Pay-Per-Install (PPI) di terze parti.

Metodi di attacco e errori operativi

La società di cybersecurity ha descritto EncryptHub come un gruppo di hacker che commette errori di sicurezza operativa e che incorpora exploit per vulnerabilità di sicurezza popolari nelle loro campagne di attacco. Tracciato anche dalla società svizzera PRODAFT come LARVA-208, EncryptHub è stato valutato come attivo verso la fine di giugno 2024. Utilizza una varietà di approcci che vanno dal phishing via SMS (smishing) al phishing vocale (vishing) per ingannare i potenziali bersagli e indurli a installare software di monitoraggio e gestione remota (RMM).

Affiliazioni e tattiche di ingegneria sociale

La società ha riferito a The Hacker News che il gruppo di spear-phishing è affiliato con i gruppi di ransomware RansomHub e Blacksuit e ha utilizzato tattiche avanzate di ingegneria sociale per compromettere obiettivi di alto valore in diversi settori. PRODAFT ha dichiarato che l’attore solitamente crea un sito di phishing che prende di mira l’organizzazione per ottenere le credenziali VPN della vittima. La vittima viene quindi contattata e invitata a inserire i propri dati nel sito di phishing per problemi tecnici, fingendosi un team IT o un helpdesk.

Hosting e distribuzione di malware

I siti di phishing sono ospitati su provider di hosting a prova di proiettile come Yalishand. Una volta ottenuto l’accesso, EncryptHub procede a eseguire script PowerShell che portano al dispiegamento di malware stealer come Fickle, StealC e Rhadamanthys. L’obiettivo finale degli attacchi, nella maggior parte dei casi, è distribuire ransomware e richiedere un riscatto.

Applicazioni trojanizzate e catena di distribuzione

Uno dei metodi comuni adottati dagli attori delle minacce riguarda l’uso di applicazioni trojanizzate mascherate da software legittimo per l’accesso iniziale. Queste includono versioni contraffatte di QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 e Palo Alto Global Protect. Queste applicazioni trappola, una volta installate, innescano un processo a più fasi che funge da veicolo di consegna per i payload di fase successiva come Kematian Stealer per facilitare il furto di cookie.

Servizi PPI e feedback positivo

Almeno dal 2 gennaio 2025, un componente cruciale della catena di distribuzione di EncryptHub è stato l’uso di un servizio PPI di terze parti chiamato LabInstalls, che facilita installazioni di malware in massa per clienti paganti a partire da $10 (100 carichi) fino a $450 (10.000 carichi). EncryptHub ha confermato di essere un loro cliente lasciando feedback positivo nel thread di vendita di LabInstalls sul forum sotterraneo di lingua russa di alto livello.

 

Fonte: The Hackers News

articolo originale

Ricevi le ultime attualità sul mondo tech!

Julie Maddaloni
Julie Maddaloni
Ciao! Sono una blogger appassionata di tecnologia e delle news dei mondi Apple e Android. Amo scoprire le ultime novità del settore e condividere storie e consigli utili con chi, come me, è sempre alla ricerca delle ultime novità. Quando non sono immersa tra recensioni e aggiornamenti tech, mi rilasso con una buona pizza e una maratona di serie TV! 🍕📱💙
RELATED ARTICLES

Ultimi articoli