El actor de amenaza de motivaci\u00f3n financiera conocido como Encrypthub <\/b>se ha observado orquestando campa\u00f1as de phishing sofisticadas para desplegar robadores de informaci\u00f3n y ransomware, al tiempo que trabaja en un nuevo producto llamado Encryptrat<\/b>.<\/p>\n
“Se ha observado que CiCrryPTHUB se dirige a usuarios de aplicaciones populares, distribuyendo versiones troyanizadas”, Outpost24 KrakenLabs dicho<\/a> En un nuevo informe compartido con The Hacker News. “Adem\u00e1s, el actor de amenaza tambi\u00e9n ha utilizado los servicios de distribuci\u00f3n de pago por instalaci\u00f3n de terceros (PPI)”.<\/p>\n La compa\u00f1\u00eda de ciberseguridad describi\u00f3 al actor de amenaza como un grupo de pirater\u00eda que comete errores de seguridad operativos y como alguien que incorpora haza\u00f1as para fallas de seguridad populares en sus campa\u00f1as de ataque.<\/p>\n Se eval\u00faa que CiCrypThub, tambi\u00e9n rastreado por la compa\u00f1\u00eda suiza de seguridad cibern\u00e9tica como LARVA-208, se ha vuelto activo a fines de junio de 2024, confiando en una variedad de enfoques que van desde el phishing SMS (sonrisas) hasta el phishing de voz (visitante) en un intento de enga\u00f1ar a los posibles objetivos para instalar el software de monitorizaci\u00f3n y gesti\u00f3n remota (RMM).<\/p>\n La compa\u00f1\u00eda le dijo a The Hacker News que el grupo de phishing Spear est\u00e1 afiliado a grupos de ransomware Ransomhub y BlackSuit y ha estado utilizando t\u00e1cticas avanzadas de ingenier\u00eda social para comprometer objetivos de alto valor en m\u00faltiples industrias.<\/p>\n “El actor generalmente crea un sitio de phishing que se dirige a la organizaci\u00f3n para obtener las credenciales de VPN de la v\u00edctima”, ProductAft dicho<\/a>. “Luego se llama a la v\u00edctima y se le pide que ingrese los detalles de la v\u00edctima en el sitio de phishing para problemas t\u00e9cnicos, haci\u00e9ndose pasar por un equipo de TI o un servicio de asistencia. Si el ataque dirigido a la v\u00edctima no es una llamada, sino un mensaje de texto directo de SMS, un enlace falso de los equipos de Microsoft se usa para convencer a la v\u00edctima”.<\/p>\n Los sitios de phishing est\u00e1n alojados en proveedores de alojamiento a prueba de balas como Yalishand. Una vez que se obtiene el acceso, CiCrypThub procede a ejecutar scripts de PowerShell que conducen al despliegue de malware del robador como voluble, robo y radamantys. El objetivo final de los ataques en la mayor\u00eda de los casos es entregar ransomware y exigir un rescate.<\/p>\n Uno de los otros m\u00e9todos comunes adoptados por los actores de amenaza se refiere al uso de aplicaciones troyanizadas disfrazadas de software leg\u00edtimo para el acceso inicial. Estos incluyen versiones falsificadas de QQ Talk, QQ Installer, WeChat, Dingtalk, VOOV Meeting, Google Meet, Microsoft Visual Studio 2022 y Palo Alto Global Protect.<\/p>\n Estas aplicaciones atrapadas en tacos, una vez instaladas, desencadenan un proceso de varias etapas que act\u00faa como un veh\u00edculo de entrega para cargas \u00fatiles de la pr\u00f3xima etapa, como el robador kematiano para facilitar el robo de cookies.<\/p>\n Al menos desde el 2 de enero de 2025, un componente crucial de la cadena de distribuci\u00f3n de CiCryPTHUB ha sido el uso de un tercero. PPI<\/a> servicio<\/a> Apodado Labinstalls, que facilita las instalaciones de malware a granel para pagar a los clientes a partir de $ 10 (100 cargas) a $ 450 (10,000 cargas).<\/p>\n “CiCrypThub confirm\u00f3 ser su cliente al dejar comentarios positivos en Labinstalls vendiendo hilo en el foro subterr\u00e1neo de habla rusa de primer nivel, incluso incluyendo una captura de pantalla que evidencia el uso del servicio”, dijo Outpost24.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/CiCrypThub-despliega-ransomware-y-robador-a-traves-de-aplicaciones-troyanas.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n