06 mars 2025Ravie LakshmananMalware / ransomware

L’acteur de menace motivé financièrement connu sous le nom Crupthub a été observé orchestrer des campagnes de phishing sophistiquées pour déployer des voleurs et des ransomwares, tout en travaillant sur un nouveau produit appelé Cryptrat.

“Encrypthub a été observé ciblant les utilisateurs d’applications populaires, en distribuant des versions trojanisées”, Upt24 Krakenlabs dit Dans un nouveau rapport partagé avec le Hacker News. “En outre, l’acteur de menace a également utilisé des services de distribution tiers de la rémunération par paiement (PPI).”

La société de cybersécurité a décrit l’acteur de menace comme un groupe de piratage qui fait des erreurs de sécurité opérationnelle et comme quelqu’un qui intègre des exploits pour des défauts de sécurité populaires dans leurs campagnes d’attaque.

Encrypthub, également suivi par la société de cybersécurité suisse Prodaft en tant que Larva-208, est devenu actif vers la fin juin 2024, en s’appuyant sur une variété d’approches allant de la phishing SMS (smissh) au phishing vocal (Vishing) dans le but de tromper des cibles de prospects dans l’installation du logiciel de surveillance et de gestion de la télécommande (RMM).

Cybersécurité

La société a déclaré au Hacker News que le groupe de phistes de lance était affilié à des groupes de ransomware RansomHub et noirs et a utilisé des tactiques avancées d’ingénierie sociale pour compromettre des objectifs de grande valeur dans plusieurs industries.

“L’acteur crée généralement un site de phishing qui cible l’organisation pour obtenir les informations d’identification VPN de la victime”, Prodaft dit. “La victime est ensuite appelée et invitée à saisir les détails de la victime dans le site de phishing pour des problèmes techniques, se faisant passer pour une équipe informatique ou un service d’assistance. Si l’attaque ciblant la victime n’est pas un appel mais un SMS SMS direct, un faux lien Microsoft Teams est utilisé pour convaincre la victime.”

Les sites de phishing sont hébergés sur des fournisseurs d’hébergement pare-balles comme Yalishand. Une fois l’accès obtenu, Encrypthub procède à l’exécution de scripts PowerShell qui conduisent au déploiement de logiciels malveillants de voleur comme Fickle, Stealc et Rhadamanthys. L’objectif final des attaques dans la plupart des cas est de fournir des ransomwares et de demander une rançon.

L’une des autres méthodes communes adoptées par les acteurs de la menace concerne l’utilisation d’applications transversales déguisées en logiciel légitime pour l’accès initial. Ceux-ci incluent des versions contrefaites de QQ Talk, QQ Installateur, WeChat, Dingtalk, Voov Meeting, Google Meet, Microsoft Visual Studio 2022 et Palo Alto Global Protect.

Ces applications piégées, une fois installées, déclenchent un processus en plusieurs étapes qui agit comme un véhicule de livraison pour les charges utiles à prochaines étages telles que Kematian Stealer pour faciliter le vol de biscuits.

Au moins depuis le 2 janvier 2025, une composante cruciale de la chaîne de distribution d’Encrypthub a été l’utilisation d’un tiers IPP service Surnommé Labinstalls, qui facilite les installations de logiciels malveillants en vrac pour payer les clients à partir de 10 $ (100 charges) à 450 $ (10 000 charges).

“Encrypthub a en effet confirmé être leur client en laissant des commentaires positifs dans Labinstalls vendant du fil sur le forum souterrain russe de haut niveau XSS, incluant même une capture d’écran qui prouve l’utilisation du service”, a déclaré UptPost24.

Cybersécurité

“L’acteur de menace a probablement embauché ce service pour faciliter le fardeau de la distribution et augmenter le nombre d’objectifs que ses logiciels malveillants pourraient atteindre.”

Ces modifications soulignent les ajustements actifs à la chaîne de mise à mort de EncrypThub, l’acteur de menace développant également de nouveaux composants comme Encryptrat, un panneau de commande et de contrôle (C2) pour gérer les infections actives, émettre des commandes distantes et accès aux données volées. Il existe des preuves suggérant que l’adversaire pourrait chercher à commercialiser l’outil.

“Encrypthub continue d’évoluer ses tactiques, soulignant le besoin critique de surveillance continue et de mesures de défense proactive”, a déclaré la société. “Les organisations doivent rester vigilantes et adopter des stratégies de sécurité multicouches pour atténuer les risques posés par de tels adversaires.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57