El actor de amenaza de motivación financiera conocido como Encrypthub se ha observado orquestando campañas de phishing sofisticadas para desplegar robadores de información y ransomware, al tiempo que trabaja en un nuevo producto llamado Encryptrat.
“Se ha observado que CiCrypThub dirige a los usuarios de aplicaciones populares, distribuyendo versiones troyanizadas”, dijo Outpost24 Krakenlabs en un nuevo documentación compartido con Hacker News. “Por otra parte, el actor de amenaza asimismo ha utilizado los servicios de distribución de suscripción por instalación de terceros (PPI)”.
La compañía de ciberseguridad describió al actor de amenaza como un peña de piratería que comete errores de seguridad operativos y como determinado que incorpora hazañas para fallas de seguridad populares en sus campañas de ataque.
Se evalúa que CiCrypThub, asimismo rastreado por la compañía suiza de seguridad cibernética como LARVA-208, se ha vuelto activo a fines de junio de 2024, confiando en una variedad de enfoques que van desde el phishing SMS (sonrisas) hasta el phishing de voz (visitante) en un intento de engañar a los posibles objetivos para instalar el software de monitorización y papeleo remota (RMM).
La compañía le dijo a The Hacker News que el peña de phishing Spear está afiliado a grupos de ransomware Ransomhub y BlackSuit y ha estado utilizando tácticas avanzadas de ingeniería social para comprometer objetivos de suspensión valencia en múltiples industrias.
“El actor generalmente crea un sitio de phishing que se dirige a la estructura para obtener las credenciales de VPN de la víctima”, dijo ProDaft. “Luego se vehemencia a la víctima y se le pide que ingrese los detalles de la víctima en el sitio de phishing para problemas técnicos, haciéndose acaecer por un equipo de TI o un servicio de socorro. Si el ataque dirigido a la víctima no es una citación, sino un mensaje de texto directo de SMS, un enlace hipócrita de los equipos de Microsoft se usa para convencer a la víctima”.
Los sitios de phishing están alojados en proveedores de alojamiento a prueba de balas como Yalishand. Una vez que se obtiene el comunicación, CiCrypThub procede a ejecutar scripts de PowerShell que conducen al despliegue de malware del robador como voluble, robo y radamantys. El objetivo final de los ataques en la mayoría de los casos es entregar ransomware y exigir un rescate.
Uno de los otros métodos comunes adoptados por los actores de amenaza se refiere al uso de aplicaciones troyanizadas disfrazadas de software genuino para el comunicación original. Estos incluyen versiones falsificadas de QQ Talk, QQ Installer, WeChat, Dingtalk, VOOV Meeting, Google Meet, Microsoft Visual Studio 2022 y Palo Parada Entero Protect.
Estas aplicaciones atrapadas en tacos, una vez instaladas, desencadenan un proceso de varias etapas que actúa como un transporte de entrega para cargas bártulos de la próxima etapa, como el robador kematiano para favorecer el robo de cookies.
Al menos desde el 2 de enero de 2025, un componente crucial de la prisión de distribución de CiCryPTHUB ha sido el uso de un servicio PPI de terceros denominado labinstalls, que facilita las instalaciones de malware a copioso para avalar a los clientes a partir de $ 10 (100 cargas) a $ 450 (10,000 cargas).
“CiCrypThub confirmó ser su cliente al dejar comentarios positivos en Labinstalls vendiendo hilo en el foro subterráneo de acento rusa de primer nivel, incluso incluyendo una captura de pantalla que evidencia el uso del servicio”, dijo Outpost24.
“El actor de amenaza probablemente contrató este servicio para aliviar la carga de la distribución y ampliar el número de objetivos que su malware podría alcanzar”.
Estos cambios subrayan los ajustes activos a la prisión Kill de CiCryPTHUB, con el actor de amenaza asimismo desarrollando nuevos componentes como CiCryPtrat, un panel de comando y control (C2) para cuidar infecciones activas, emitir comandos remotos y consentir a los datos robados. Hay alguna evidencia que sugiere que el adversario puede estar buscando comercializar la útil.
“CiCryPTHUB continúa evolucionando sus tácticas, subrayando la carestia crítica de monitoreo continuo y medidas de defensa proactiva”, dijo la compañía. “Las organizaciones deben permanecer atentos y adoptar estrategias de seguridad de varias capas para mitigar los riesgos planteados por tales adversarios”.
