07/03/25
По данным исследователей Outpost24, злоумышленники используют поддельные версии популярных приложений, а также прибегают к сторонним сервисам распространения вредоносного ПО по модели Pay-Per-Install (PPI). Группировка также замечена в эксплуатации уязвимостей в широко используемых продуктах безопасности, несмотря на неоднократные ошибки в обеспечении собственной операционной безопасности, пишет Securitylab.
EncryptHub, отслеживаемая также как LARVA-208 специалистами PRODAFT, начала свою активность в конце июня 2024 года. В арсенале группировки — фишинговые атаки через SMS (смишинг) и телефонные звонки (вишинг). Цель таких атак — убедить жертв установить программное обеспечение удалённого управления и слежки.
По информации PRODAFT, группировка связана с операторами программ-вымогателей RansomHub и Blacksuit. В ходе атак хакеры создают фальшивые веб-страницы, на которых запрашивают учётные данные VPN под видом устранения технических проблем. Жертву могут уговорить ввести данные либо через телефонный звонок от «технической поддержки», либо через SMS с поддельной ссылкой на Microsoft Teams.
EncryptHub использует «пуленепробиваемые» хостинги (BPH), такие как Yalishand, для размещения фишинговых сайтов. После получения доступа к системе злоумышленники запускают скрипты PowerShell, которые загружают вредоносное ПО, включая инфостилеры Fickle, StealC и Rhadamanthys. Основной целью атак является развёртывание программ-вымогателей и последующее вымогательство денежных средств.
Ещё один распространённый метод взлома — использование троянизированных версий легитимных программ, таких как QQ Talk, WeChat, DingTalk, Google Meet, Microsoft Visual Studio 2022 и Palo Alto Global Protect. После установки таких приложений начинается многоступенчатый процесс загрузки вредоносного ПО, включая Kematian Stealer, предназначенный для кражи cookie-файлов.
С начала 2025 года одним из ключевых методов распространения EncryptHub стал сервис LabInstalls, предоставляющий услуги массового распространения вредоносного ПО. Стоимость начинается от $10 за 100 установок и достигает $450 за 10 000 установок. Доказательства того, что EncryptHub активно пользуется этой платформой, были обнаружены на подпольном форуме XSS, где группа оставила положительный отзыв с подтверждающим скриншотом.
Параллельно с распространением вредоносного ПО EncryptHub занимается разработкой EncryptRAT — панели управления для контроля заражённых устройств, выполнения удалённых команд и кражи данных. Судя по всему, в будущем преступники собираются коммерциализировать этот инструмент.
