Aktor ancaman yang dimotivasi secara finansial yang dikenal sebagai Encrypthub telah diamati mengatur kampanye phishing canggih untuk menggunakan pencuri informasi dan ransomware, sementara juga mengerjakan produk baru yang disebut Encryptrat.
“Encrypthub telah diamati menargetkan pengguna aplikasi populer, dengan mendistribusikan versi trojanisasi,” kata Outpost24 Krakenlabs dalam sebuah laporan baru yang dibagikan kepada Hacker News. “Selain itu, aktor ancaman juga telah memanfaatkan layanan distribusi bayar per-instal (PPI) pihak ketiga.”
Perusahaan cybersecurity menggambarkan aktor ancaman sebagai kelompok peretasan yang membuat kesalahan keamanan operasional dan sebagai seseorang yang menggabungkan eksploitasi untuk kelemahan keamanan populer ke dalam kampanye serangan mereka.
Encrypthub, juga dilacak oleh perusahaan cybersecurity Swiss Prodaft sebagai Larva-208, dinilai telah menjadi aktif menjelang akhir Juni 2024, mengandalkan berbagai pendekatan mulai dari phishing SMS (Smishing) hingga suara phishing (Vishing) dalam upaya untuk menipu target prospektif hingga pemantauan dan manajemen Remote (RMMM).
Perusahaan mengatakan kepada Hacker News bahwa kelompok phishing tombak berafiliasi dengan ransomhub dan kelompok ransomware hitam dan telah menggunakan taktik rekayasa sosial canggih untuk mengkompromikan target bernilai tinggi di berbagai industri.
“Aktor biasanya menciptakan situs phishing yang menargetkan organisasi untuk mendapatkan kredensial VPN korban,” kata Prodaft. “Korban kemudian dipanggil dan diminta untuk memasukkan rincian korban ke situs phishing untuk masalah teknis, menyamar sebagai tim TI atau Helpdesk. Jika serangan yang menargetkan korban bukan panggilan tetapi pesan teks SMS langsung, tautan tim Microsoft palsu digunakan untuk meyakinkan korban.”
Situs phishing di -host di penyedia hosting anti peluru seperti Yalishand. Setelah akses diperoleh, EnrypThub mulai menjalankan skrip PowerShell yang mengarah pada penyebaran malware pencuri seperti Fickle, Stealc, dan Rhadamanthys. Tujuan akhir dari serangan di sebagian besar kasus adalah untuk memberikan ransomware dan menuntut tebusan.
Salah satu metode umum lainnya yang diadopsi oleh aktor ancaman menyangkut penggunaan aplikasi trojanisasi yang disamarkan sebagai perangkat lunak yang sah untuk akses awal. Ini termasuk versi palsu dari QQ Talk, Penginstal QQ, WeChat, DingTalk, VOOV Meeting, Google Meet, Microsoft Visual Studio 2022, dan Palo Alto Global Protect.
Aplikasi yang terjebak booby ini, setelah dipasang, memicu proses multi-tahap yang bertindak sebagai kendaraan pengiriman untuk muatan tahap berikutnya seperti pencuri Kematan untuk memfasilitasi pencurian kue.
Setidaknya sejak 2 Januari 2025, komponen penting rantai distribusi Encrypthub adalah penggunaan layanan PPI pihak ketiga yang dijuluki LabInstalls, yang memfasilitasi pemasangan malware curah untuk pelanggan yang membayar mulai dari $ 10 (100 muatan) hingga $ 450 (10.000 muatan).
“EncrypThub memang mengkonfirmasi menjadi klien mereka dengan meninggalkan umpan balik positif dalam labinstalls menjual utas di forum bawah tanah berbahasa Rusia terbaik XSS, bahkan termasuk tangkapan layar yang membuktikan penggunaan layanan,” kata Outpost24.
“Aktor ancaman kemungkinan besar mempekerjakan layanan ini untuk meringankan beban distribusi dan memperluas jumlah target yang bisa dicapai oleh malwarenya.”
Perubahan ini menggarisbawahi penyesuaian aktif ke rantai pembunuhan Encrypthub, dengan aktor ancaman juga mengembangkan komponen baru seperti Encryptrat, panel perintah-dan-kontrol (C2) untuk mengelola infeksi aktif, mengeluarkan perintah jarak jauh, dan mengakses data curian. Ada beberapa bukti yang menunjukkan bahwa musuh mungkin ingin mengkomersialkan alat.
“Encrypthub terus mengembangkan taktiknya, menggarisbawahi kebutuhan kritis untuk pemantauan berkelanjutan dan langkah -langkah pertahanan proaktif,” kata perusahaan itu. “Organisasi harus tetap waspada dan mengadopsi strategi keamanan berlapis-lapis untuk mengurangi risiko yang ditimbulkan oleh musuh-musuh tersebut.”
