Il gruppo di cybercriminali noto come EncryptHub è stato recentemente osservato orchestrare campagne di phishing sofisticate per distribuire malware e ransomware. Questo gruppo sembra stia lavorando a un nuovo prodotto chiamato EncryptRAT. Secondo un rapporto di Outpost24 KrakenLabs, EncryptHub ha preso di mira gli utenti di applicazioni popolari distribuendo versioni trojanizzate delle stesse. Inoltre, il gruppo ha utilizzato servizi di distribuzione Pay-Per-Install (PPI) di terze parti per amplificare la diffusione del malware.

Descrizione del gruppo EncryptHub

EncryptHub è stato descritto come un gruppo di hacker che commette errori di sicurezza operativa e integra exploit di vulnerabilità popolari nei propri attacchi. Tracciato anche dalla società svizzera PRODAFT come LARVA-208, EncryptHub è stato attivo dalla fine di giugno 2024, utilizzando metodi che vanno dal phishing via SMS (smishing) al phishing vocale (vishing) per indurre le vittime a installare software di monitoraggio remoto.

Affiliazioni e tecniche di attacco

Il gruppo è affiliato con i gruppi ransomware RansomHub e Blacksuit e ha utilizzato tecniche avanzate di ingegneria sociale per compromettere oltre 618 obiettivi di alto valore in vari settori negli ultimi nove mesi. Solitamente, gli attaccanti creano un sito di phishing che imita l’organizzazione della vittima per ottenere le credenziali VPN. Successivamente, contattano la vittima chiedendo di inserire i propri dati nel sito di phishing, fingendosi un team IT o un helpdesk. In alternativa, inviano un SMS con un falso link di Microsoft Teams per convincere la vittima.

Metodi e strumenti utilizzati

Le campagne di phishing utilizzano siti ospitati su provider di hosting a prova di proiettile come Yalishand. Una volta ottenuto l’accesso, EncryptHub esegue script PowerShell che portano al dispiegamento di malware stealer come Fickle, StealC e Rhadamanthys, con l’obiettivo finale di distribuire ransomware e richiedere un riscatto.

Tra i metodi adottati dai cybercriminali c'è anche l'uso di applicazioni trojanizzate, travestite da software legittimo, per ottenere l'accesso iniziale. Queste includono versioni contraffatte di applicazioni come QQ Talk, WeChat, Google Meet, Microsoft Visual Studio 2022 e Palo Alto Global Protect. Queste applicazioni trappola, una volta installate, avviano un processo a più fasi che funge da veicolo di consegna per i payload successivi, come Kematian Stealer, per facilitare il furto di cookie.

Uso di servizi PPI di terze parti

Dal 2 gennaio 2025, EncryptHub ha utilizzato un servizio PPI di terze parti chiamato LabInstalls per facilitare installazioni massive di malware, offrendo pacchetti che vanno da 10 a 10.000 installazioni. Il gruppo ha confermato di essere cliente di questo servizio, lasciando feedback positivi sul forum underground russo XSS.

Cambiamenti nella catena di attacco

Questi cambiamenti evidenziano le continue modifiche alla catena di attacco di EncryptHub, che sta sviluppando nuovi componenti come EncryptRAT, un pannello di comando e controllo per gestire le infezioni attive, impartire comandi remoti e accedere ai dati rubati. C’è evidenza che l’avversario possa cercare di commercializzare questo strumento.