21/07/25
Группа хакеров EncryptHub, также известная как LARVA-208 и Water Gamayun, запустила новую атаку, нацеленную на разработчиков в сфере Web3. Цель — заразить их вредоносным ПО, крадущим данные, включая криптовалютные кошельки и доступ к проектам.
Эксперты из швейцарской компании PRODAFT сообщают, что злоумышленники изменили тактику и теперь маскируются под платформы искусственного интеллекта, такие как фальшивый сайт Norlax AI, который внешне имитирует Teampilot. Через такие площадки они предлагают жертвам «работу» или «оценку портфолио», в реальности заманивая их на вредоносные ресурсы.
Ранее EncryptHub использовала программы-вымогатели, но теперь её участники сосредоточились на краже информации, которую можно быстро монетизировать. Разработчики Web3 — удобная цель. У многих из них есть доступ к криптокошелькам , хранилищам смарт-контрактов и тестовым средам. К тому же они часто работают вне корпоративной структуры, что делает защиту сложной, а атаки — менее заметными.
Мошенники распространяют ссылки на поддельные платформы через Telegram и X, притворяясь работодателями или заказчиками. Иногда они публикуют вакансии на специализированной платформе Remote3, а затем отправляют откликнувшимся ссылку якобы на собеседование.
Чтобы обойти предупреждения самого Remote3 о вредоносном ПО, злоумышленники начинают общение через Google Meet. Уже во время разговора они просят соискателя перейти на стороннюю платформу — например, Norlax AI — якобы для продолжения интервью. Там пользователю предлагают ввести e-mail и код приглашения, а затем выдают сообщение об ошибке, связанной с отсутствием аудиодрайвера.
Под предлогом устранения ошибки система предлагает загрузить файл, замаскированный под Realtek HD Audio Driver. На самом деле это вредонос, который с помощью PowerShell загружает и запускает Fickle Stealer — программу, крадущую данные и передающую их на внешний сервер с кодовым названием SilentPrism.
По данным PRODAFT, эта кампания демонстрирует смену стратегии: от прямого вымогательства к извлечению прибыли за счёт продажи украденных криптокошельков, логинов и конфиденциальных данных на чёрном рынке.
