Se ha identificado que el actor de amenazas con fines financieros, conocido como EncryptHub, dirige sofisticadas campañas de phishing para distribuir ladrones de información y ransomware, mientras trabaja en el desarrollo de un nuevo producto denominado EncryptRAT.
“Se ha observado que EncryptHub apunta a usuarios de aplicaciones populares, distribuyendo versiones troyanizadas”, afirmó Outpost24 KrakenLabs en un informe reciente compartido con The Hacker News. “Además, el actor de amenazas también utiliza servicios de distribución de pago por instalación (PPI) de terceros”.
La empresa de ciberseguridad describió a este actor como un grupo de piratas informáticos que comete errores de seguridad operativa e incorpora exploits para vulnerabilidades comunes en sus campañas de ataque.
Se estima que EncryptHub, también rastreado por la firma suiza de ciberseguridad PRODAFT como LARVA-208, comenzó sus actividades a finales de junio de 2024, utilizando una variedad de enfoques, desde phishing por SMS (smishing) hasta phishing por voz (vishing), con el objetivo de engañar a las víctimas para que instalen software de monitoreo y administración remota (RMM).
La compañía informó a The Hacker News que el grupo de phishing está vinculado a los grupos de ransomware RansomHub y Blacksuit, y ha empleado tácticas avanzadas de ingeniería social para comprometer objetivos de alto valor en diversas industrias.
“El actor crea comúnmente un sitio de phishing dirigido a la organización para obtener las credenciales de VPN de la víctima”, señaló PRODAFT. “Luego se contacta con la víctima y se le pide ingresar sus datos en el sitio de phishing, haciéndose pasar por un equipo de TI o un servicio de soporte técnico. Si el ataque no involucra una llamada, sino un mensaje de texto SMS, se utiliza un enlace falso de Microsoft Teams para engañar a la víctima”.
Los sitios de phishing están alojados en proveedores de hosting a prueba de balas como Yalishand. Una vez que se obtiene acceso, EncryptHub ejecuta scripts de PowerShell que facilitan la implementación de malware ladrón como Fickle, StealC y Rhadamanthys. El objetivo final de estos ataques, en la mayoría de los casos, es distribuir ransomware y exigir un rescate.
Otro de los métodos frecuentes empleados por los actores de amenazas es el uso de aplicaciones troyanizadas camufladas en software legítimo para obtener acceso inicial. Entre ellas se incluyen versiones falsificadas de QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 y Palo Alto Global Protect.
Estas aplicaciones trampa, una vez instaladas, desencadenan un proceso de varias etapas que actúa como vehículo de entrega para cargas útiles de la siguiente fase, como Kematian Stealer, con el fin de facilitar el robo de cookies.
Desde al menos el 2 de enero de 2025, un componente esencial de la cadena de distribución de EncryptHub ha sido el uso de un servicio PPI de terceros denominado LabInstalls, que permite la instalación masiva de malware para clientes que pagan entre $10 (100 instalaciones) y $450 (10,000 instalaciones).
“EncryptHub confirmó ser su cliente al dejar comentarios positivos en el foro clandestino de habla rusa XSS, incluyendo una captura de pantalla que prueba el uso del servicio”, afirmó Outpost24.
“Es probable que el actor de amenazas haya contratado este servicio para aligerar la carga de distribución y ampliar el alcance de su malware”.
Estos cambios reflejan ajustes activos en la cadena de ataque de EncryptHub, ya que el actor también está desarrollando nuevos componentes, como EncryptRAT, un panel de comando y control (C2) para gestionar infecciones activas, emitir comandos remotos y acceder a datos robados. Existen pruebas que sugieren que el adversario podría estar buscando comercializar esta herramienta.
“EncryptHub sigue desarrollando sus tácticas, lo que resalta la necesidad de un monitoreo continuo y medidas de defensa proactivas”, afirmó la empresa. “Las organizaciones deben mantenerse alerta y adoptar estrategias de seguridad de múltiples capas para mitigar los riesgos que representan estos adversarios”.
Fuente: thehackernews.com
