Хакерската група EncryptHub продължава с нови атаки срещу Windows

Хакерската група EncryptHub, известна още като LARVA-208 и Water Gamayun, отново е в центъра на вниманието. Изследователи от Trustwave SpiderLabs съобщават, че групата използва уязвимост в Microsoft Windows (CVE-2025-26633, наричана MSC EvilTwin), за да заразява компютри с опасен зловреден софтуер. Макар проблемът вече да е официално поправен от Microsoft, атаките продължават.

Как действат атаките?

EncryptHub комбинира социално инженерство (заблуждаване на жертвата чрез фалшиви съобщения и заявки) и техническа експлоатация на уязвимостта в Microsoft Management Console (MMC). Обикновено хакерите се представят за служители от IT отдела и изпращат покани в Microsoft Teams. След като жертвата приеме, те опитват да установят дистанционна връзка и да изпълнят злонамерени PowerShell команди.

При атаката се използват два файла с разширение MSC и еднакви имена – единият е безобиден, а другият – заразен. Когато жертвата отвори „чистия“ файл, системата всъщност стартира опасния вариант. Той от своя страна сваля нов PowerShell скрипт, който:

  • събира информация за системата,
  • осигурява постоянен достъп на хакерите,
  • свързва компютъра със сървър за управление (C2),
  • и изтегля нови зловредни програми, включително крадеца на данни Fickle Stealer.

Нови техники за заразяване

Изследователите съобщават и за други похвати:

  • SilentCrystal – зловреден софтуер, написан на Go, който използва Brave Support (поддръжката на браузъра Brave) като хостинг за следващите етапи на атаката. Това е особено притеснително, защото качването на файлове там е ограничено и подсказва, че хакерите са получили неоторизиран достъп до акаунт.
  • Фалшиви видеоконферентни платформи като RivaTalk, чрез които жертвите биват подмамвани да изтеглят инсталатори (.MSI файлове). При стартиране те зареждат легитимни файлове от Symantec, но в комбинация с подменени DLL библиотеки, които отново отварят врата за PowerShell скриптове и кражба на информация.
  • Измамни дейности във фонов режим – зловредният код стартира „системни съобщения“, за да не събуди съмнения, докато в същото време генерира фалшив интернет трафик към популярни сайтове, за да прикрие връзката си със сървъра на атакуващите.

Защо EncryptHub е опасен?

Групата се появи през 2024 г. и бързо стана известна със своята активност. Тя е финансово мотивирана и използва разнообразни методи за достъп до жертвите – от фалшиви обяви за работа и прегледи на портфолиа, до заразяване на игри в Steam.

Според Trustwave, EncryptHub разполага със сериозни ресурси и умения, като съчетава измамни техники, експлоатация на уязвимости и злоупотреба с доверени платформи. Това прави атаките им трудни за засичане и блокиране.

Как да се предпазим?

  • Актуализации: Инсталирайте редовно всички Windows ъпдейти.
  • Обучение: Обяснете на служителите да не приемат непознати покани в Teams или други комуникационни приложения.
  • Защита на мрежата: Използвайте многостепенни системи за сигурност и мониторинг на трафика.
  • Внимание към файловете: Не отваряйте MSC, MSI или други изпълними файлове от непознат източник.

В заключение, кампанията на EncryptHub е поредното напомняне, че киберсигурността зависи не само от технологиите, но и от вниманието на потребителите.

Тагове:

#Windows | #Зловреден Софтуер | #Кражба На Данни |

Последни Публикации

1
ферма със sim карти

Европол разби сложна мрежа за киберизмами със SIM ферми

На 10 октомври 2025 г. Европол, европейската полицейска агенция, обяви, че е разбила сложна платформа за киберпрестъпления, известна като "киберпрестъпност като услуга" (Cybercrime-as-a-Service, CaaS). Тази платформа е използвала т.нар. SIM ферма – система от устройства, които управляват голям брой ...
2
лого на Windows, изобразено като щит

Microsoft поправя 183 уязвимости: Три вече се използват от хакери

На 14 октомври 2025 г. Microsoft публикува корекции за рекордните 183 уязвимости в сигурността на своите продукти. Сред тях има три уязвимости, които вече се използват активно от хакери. В същото време компанията официално прекрати поддръжката на операционната система Windows 10, освен за компютри, ...
3
хакер поема контрола над RTU устройство и управлява електрическата мрежа

Сериозни уязвимости в устройства на Red Lion: Заплаха за промишлените системи

Изследователи в областта на киберсигурността разкриха два сериозни проблема в сигурността на продуктите на Red Lion Sixnet, наречени "дистанционни терминални устройства" (RTU), които се използват в промишлени системи. Ако тези уязвимости бъдат използвани от злонамерени лица, те могат да позволят изп ...
4
отбор от супергерои се бори с кибер заплахите в интернет

Киберзаплахите на седмицата: нови атаки, обединени хакери и уязвимости в големи системи

Всяка седмица дигиталният свят ни напомня, че тишината не означава сигурност. Кибератаките често започват тихо – една незащитена уязвимост, забравена парола или незашифровано резервно копие. Когато алармата най-после се задейства, щетите вече са нанесени.Тази седмица ще разгледаме как нападателите п ...
5
Управител на корпорация е силно притеснен от кибер заплахите пред бизнеса

Дигиталните заплахи: Седмичен Бюлетин

Киберсветът в турбо режим: Заплахите стават все по-умни Живеем във време, в което удобството върви ръка за ръка с риска. Всяко умно устройство, всяка нова услуга в облака и всяка чат платформа, която ни улеснява, всъщност разширява "бойната линия", по която могат да ни атакуват хакерите. Вече не гов ...
6
експерт по киберсигурност внедрява изкуствен интелект

5 критични въпроса при внедряване на решения за сигурност с AI

В наши дни изкуственият интелект (AI) не е просто модерна дума, а двигател на бизнеса. Все повече компании използват AI и облачни технологии, за да обработват огромни обеми данни, да вземат по-добри решения и да създават нови продукти. С тази огромна сила обаче идва и голяма отговорност, особено ког ...