El actor de amenaza de motivación financiera conocido como Encrypthub se ha observado orquestando campañas de phishing sofisticadas para desplegar robadores de información y ransomware, al tiempo que trabaja en un nuevo producto llamado Encryptrat.
«Se ha observado que CiCrypThub dirige a los usuarios de aplicaciones populares, distribuyendo versiones troyanizadas», dijo Outpost24 Krakenlabs en un nuevo informe compartido con Hacker News. «Además, el actor de amenaza también ha utilizado los servicios de distribución de pago por instalación de terceros (PPI)».
La compañía de ciberseguridad describió al actor de amenaza como un grupo de piratería que comete errores de seguridad operativos y como alguien que incorpora hazañas para fallas de seguridad populares en sus campañas de ataque.
Se evalúa que CiCrypThub, también rastreado por la compañía suiza de seguridad cibernética como LARVA-208, se ha vuelto activo a fines de junio de 2024, confiando en una variedad de enfoques que van desde el phishing SMS (sonrisas) hasta el phishing de voz (visitante) en un intento de engañar a los posibles objetivos para instalar el software de monitorización y gestión remota (RMM).
La compañía le dijo a The Hacker News que el grupo de phishing Spear está afiliado a grupos de ransomware Ransomhub y BlackSuit y ha estado utilizando tácticas avanzadas de ingeniería social para comprometer objetivos de alto valor en múltiples industrias.
«El actor generalmente crea un sitio de phishing que se dirige a la organización para obtener las credenciales de VPN de la víctima», dijo ProDaft. «Luego se llama a la víctima y se le pide que ingrese los detalles de la víctima en el sitio de phishing para problemas técnicos, haciéndose pasar por un equipo de TI o un servicio de asistencia. Si el ataque dirigido a la víctima no es una llamada, sino un mensaje de texto directo de SMS, un enlace falso de los equipos de Microsoft se usa para convencer a la víctima».
Los sitios de phishing están alojados en proveedores de alojamiento a prueba de balas como Yalishand. Una vez que se obtiene el acceso, CiCrypThub procede a ejecutar scripts de PowerShell que conducen al despliegue de malware del robador como voluble, robo y radamantys. El objetivo final de los ataques en la mayoría de los casos es entregar ransomware y exigir un rescate.
Uno de los otros métodos comunes adoptados por los actores de amenaza se refiere al uso de aplicaciones troyanizadas disfrazadas de software legítimo para el acceso inicial. Estos incluyen versiones falsificadas de QQ Talk, QQ Installer, WeChat, Dingtalk, VOOV Meeting, Google Meet, Microsoft Visual Studio 2022 y Palo Alto Global Protect.
Estas aplicaciones atrapadas en tacos, una vez instaladas, desencadenan un proceso de varias etapas que actúa como un vehículo de entrega para cargas útiles de la próxima etapa, como el robador kematiano para facilitar el robo de cookies.
Al menos desde el 2 de enero de 2025, un componente crucial de la cadena de distribución de CiCryPTHUB ha sido el uso de un servicio PPI de terceros denominado labinstalls, que facilita las instalaciones de malware a granel para pagar a los clientes a partir de $ 10 (100 cargas) a $ 450 (10,000 cargas).
«CiCrypThub confirmó ser su cliente al dejar comentarios positivos en Labinstalls vendiendo hilo en el foro subterráneo de habla rusa de primer nivel, incluso incluyendo una captura de pantalla que evidencia el uso del servicio», dijo Outpost24.
«El actor de amenaza probablemente contrató este servicio para aliviar la carga de la distribución y ampliar el número de objetivos que su malware podría alcanzar».
Estos cambios subrayan los ajustes activos a la cadena Kill de CiCryPTHUB, con el actor de amenaza también desarrollando nuevos componentes como CiCryPtrat, un panel de comando y control (C2) para administrar infecciones activas, emitir comandos remotos y acceder a los datos robados. Hay alguna evidencia que sugiere que el adversario puede estar buscando comercializar la herramienta.
«CiCryPTHUB continúa evolucionando sus tácticas, subrayando la necesidad crítica de monitoreo continuo y medidas de defensa proactiva», dijo la compañía. «Las organizaciones deben permanecer atentos y adoptar estrategias de seguridad de varias capas para mitigar los riesgos planteados por tales adversarios».
