{"id":1568060,"date":"2025-03-06T14:52:36","date_gmt":"2025-03-06T16:52:36","guid":{"rendered":"https:\/\/teknomers.com\/fr\/encrypthub-deploie-des-ransomwares-et-du-voleur-via-des-applications-trojanisees-des-services-ppi-et-un-phishing\/"},"modified":"2025-03-06T14:52:41","modified_gmt":"2025-03-06T16:52:41","slug":"encrypthub-deploie-des-ransomwares-et-du-voleur-via-des-applications-trojanisees-des-services-ppi-et-un-phishing","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/encrypthub-deploie-des-ransomwares-et-du-voleur-via-des-applications-trojanisees-des-services-ppi-et-un-phishing\/","title":{"rendered":"EncrypThub d\u00e9ploie des ransomwares et du voleur via des applications trojanis\u00e9es, des services PPI et un phishing"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">06 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Malware \/ ransomware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/EncrypThub-deploie-des-ransomwares-et-du-voleur-via-des-applications.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>L&#8217;acteur de menace motiv\u00e9 financi\u00e8rement connu sous le nom <b>Crupthub <\/b>a \u00e9t\u00e9 observ\u00e9 orchestrer des campagnes de phishing sophistiqu\u00e9es pour d\u00e9ployer des voleurs et des ransomwares, tout en travaillant sur un nouveau produit appel\u00e9 <b>Cryptrat<\/b>.<\/p>\n<p>&#8220;Encrypthub a \u00e9t\u00e9 observ\u00e9 ciblant les utilisateurs d&#8217;applications populaires, en distribuant des versions trojanis\u00e9es&#8221;, Upt24 Krakenlabs <a rel=\"noopener nofollow\" href=\"https:\/\/outpost24.com\/blog\/unveiling-encrypthub-multi-stage-malware\/\" target=\"_blank\">dit<\/a> Dans un nouveau rapport partag\u00e9 avec le Hacker News. &#8220;En outre, l&#8217;acteur de menace a \u00e9galement utilis\u00e9 des services de distribution tiers de la r\u00e9mun\u00e9ration par paiement (PPI).&#8221;<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a d\u00e9crit l&#8217;acteur de menace comme un groupe de piratage qui fait des erreurs de s\u00e9curit\u00e9 op\u00e9rationnelle et comme quelqu&#8217;un qui int\u00e8gre des exploits pour des d\u00e9fauts de s\u00e9curit\u00e9 populaires dans leurs campagnes d&#8217;attaque.<\/p>\n<p>Encrypthub, \u00e9galement suivi par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 suisse Prodaft en tant que Larva-208, est devenu actif vers la fin juin 2024, en s&#8217;appuyant sur une vari\u00e9t\u00e9 d&#8217;approches allant de la phishing SMS (smissh) au phishing vocal (Vishing) dans le but de tromper des cibles de prospects dans l&#8217;installation du logiciel de surveillance et de gestion de la t\u00e9l\u00e9commande (RMM).<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La soci\u00e9t\u00e9 a d\u00e9clar\u00e9 au Hacker News que le groupe de phistes de lance \u00e9tait affili\u00e9 \u00e0 des groupes de ransomware RansomHub et noirs et a utilis\u00e9 des tactiques avanc\u00e9es d&#8217;ing\u00e9nierie sociale pour compromettre des objectifs de grande valeur dans plusieurs industries.<\/p>\n<p>&#8220;L&#8217;acteur cr\u00e9e g\u00e9n\u00e9ralement un site de phishing qui cible l&#8217;organisation pour obtenir les informations d&#8217;identification VPN de la victime&#8221;, Prodaft <a rel=\"noopener nofollow\" href=\"https:\/\/catalyst.prodaft.com\/public\/report\/larva-208\/overview\" target=\"_blank\">dit<\/a>. &#8220;La victime est ensuite appel\u00e9e et invit\u00e9e \u00e0 saisir les d\u00e9tails de la victime dans le site de phishing pour des probl\u00e8mes techniques, se faisant passer pour une \u00e9quipe informatique ou un service d&#8217;assistance. Si l&#8217;attaque ciblant la victime n&#8217;est pas un appel mais un SMS SMS direct, un faux lien Microsoft Teams est utilis\u00e9 pour convaincre la victime.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741279954_657_EncrypThub-deploie-des-ransomwares-et-du-voleur-via-des-applications.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741279954_657_EncrypThub-deploie-des-ransomwares-et-du-voleur-via-des-applications.png\" alt=\"\" border=\"0\" data-original-height=\"317\" data-original-width=\"1536\"\/><\/a><\/div>\n<p>Les sites de phishing sont h\u00e9berg\u00e9s sur des fournisseurs d&#8217;h\u00e9bergement pare-balles comme Yalishand. Une fois l&#8217;acc\u00e8s obtenu, Encrypthub proc\u00e8de \u00e0 l&#8217;ex\u00e9cution de scripts PowerShell qui conduisent au d\u00e9ploiement de logiciels malveillants de voleur comme Fickle, Stealc et Rhadamanthys. L&#8217;objectif final des attaques dans la plupart des cas est de fournir des ransomwares et de demander une ran\u00e7on.<\/p>\n<p>L&#8217;une des autres m\u00e9thodes communes adopt\u00e9es par les acteurs de la menace concerne l&#8217;utilisation d&#8217;applications transversales d\u00e9guis\u00e9es en logiciel l\u00e9gitime pour l&#8217;acc\u00e8s initial. Ceux-ci incluent des versions contrefaites de QQ Talk, QQ Installateur, WeChat, Dingtalk, Voov Meeting, Google Meet, Microsoft Visual Studio 2022 et Palo Alto Global Protect.<\/p>\n<p>Ces applications pi\u00e9g\u00e9es, une fois install\u00e9es, d\u00e9clenchent un processus en plusieurs \u00e9tapes qui agit comme un v\u00e9hicule de livraison pour les charges utiles \u00e0 prochaines \u00e9tages telles que Kematian Stealer pour faciliter le vol de biscuits.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741279955_52_EncrypThub-deploie-des-ransomwares-et-du-voleur-via-des-applications.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741279955_52_EncrypThub-deploie-des-ransomwares-et-du-voleur-via-des-applications.png\" alt=\"\" border=\"0\" data-original-height=\"671\" data-original-width=\"832\"\/><\/a><\/div>\n<p>Au moins depuis le 2 janvier 2025, une composante cruciale de la cha\u00eene de distribution d&#8217;Encrypthub a \u00e9t\u00e9 l&#8217;utilisation d&#8217;un tiers <a rel=\"noopener nofollow\" href=\"https:\/\/www.secureworks.com\/research\/ppi\" target=\"_blank\">IPP<\/a> <a rel=\"noopener nofollow\" href=\"https:\/\/www.blackhat.com\/presentations\/bh-dc-10\/Stevens_Kevin\/BlackHat-DC-2010-Stevens-Underground-wp.pdf\" target=\"_blank\">service<\/a> Surnomm\u00e9 Labinstalls, qui facilite les installations de logiciels malveillants en vrac pour payer les clients \u00e0 partir de 10 $ (100 charges) \u00e0 450 $ (10 000 charges).<\/p>\n<p>&#8220;Encrypthub a en effet confirm\u00e9 \u00eatre leur client en laissant des commentaires positifs dans Labinstalls vendant du fil sur le forum souterrain russe de haut niveau XSS, incluant m\u00eame une capture d&#8217;\u00e9cran qui prouve l&#8217;utilisation du service&#8221;, a d\u00e9clar\u00e9 UptPost24.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-ai-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/VMware-Security-Flaws-exploite-dans-la-nature-BroadCom-publie.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;L&#8217;acteur de menace a probablement embauch\u00e9 ce service pour faciliter le fardeau de la distribution et augmenter le nombre d&#8217;objectifs que ses logiciels malveillants pourraient atteindre.&#8221;<\/p>\n<p>Ces modifications soulignent les ajustements actifs \u00e0 la cha\u00eene de mise \u00e0 mort de EncrypThub, l&#8217;acteur de menace d\u00e9veloppant \u00e9galement de nouveaux composants comme Encryptrat, un panneau de commande et de contr\u00f4le (C2) pour g\u00e9rer les infections actives, \u00e9mettre des commandes distantes et acc\u00e8s aux donn\u00e9es vol\u00e9es. Il existe des preuves sugg\u00e9rant que l&#8217;adversaire pourrait chercher \u00e0 commercialiser l&#8217;outil.<\/p>\n<p>&#8220;Encrypthub continue d&#8217;\u00e9voluer ses tactiques, soulignant le besoin critique de surveillance continue et de mesures de d\u00e9fense proactive&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. &#8220;Les organisations doivent rester vigilantes et adopter des strat\u00e9gies de s\u00e9curit\u00e9 multicouches pour att\u00e9nuer les risques pos\u00e9s par de tels adversaires.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/encrypthub-deploys-ransomware-and.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80206 mars 2025\ue804Ravie LakshmananMalware \/ ransomware L&#8217;acteur de menace motiv\u00e9 financi\u00e8rement connu sous le nom Crupthub a \u00e9t\u00e9 observ\u00e9 orchestrer des campagnes de phishing sophistiqu\u00e9es pour d\u00e9ployer des voleurs et des ransomwares, tout en travaillant sur un nouveau produit appel\u00e9 Cryptrat. &#8220;Encrypthub a \u00e9t\u00e9 observ\u00e9 ciblant les utilisateurs d&#8217;applications populaires, en distribuant des versions trojanis\u00e9es&#8221;, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1568061,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,8361,4168,79002,274264,4161,274263,6124,7050,133,284821,274267,4160,8153,61119,63091,238617,246491,4172,3831,79016,41199,4166,8808,4164],"class_list":["post-1568060","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-applications","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-deploie","tag-des","tag-encrypthub","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-phishing","tag-ppi","tag-ransomwares","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-services","tag-the-hacker-news","tag-trojanisees","tag-violation-de-donnees","tag-voleur","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1568060","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1568060"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1568060\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1568061"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1568060"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1568060"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1568060"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}