Хакерската група EncryptHub продължава с нови атаки срещу Windows

Хакерската група EncryptHub, известна още като LARVA-208 и Water Gamayun, отново е в центъра на вниманието. Изследователи от Trustwave SpiderLabs съобщават, че групата използва уязвимост в Microsoft Windows (CVE-2025-26633, наричана MSC EvilTwin), за да заразява компютри с опасен зловреден софтуер. Макар проблемът вече да е официално поправен от Microsoft, атаките продължават.

Как действат атаките?

EncryptHub комбинира социално инженерство (заблуждаване на жертвата чрез фалшиви съобщения и заявки) и техническа експлоатация на уязвимостта в Microsoft Management Console (MMC). Обикновено хакерите се представят за служители от IT отдела и изпращат покани в Microsoft Teams. След като жертвата приеме, те опитват да установят дистанционна връзка и да изпълнят злонамерени PowerShell команди.

При атаката се използват два файла с разширение MSC и еднакви имена – единият е безобиден, а другият – заразен. Когато жертвата отвори „чистия“ файл, системата всъщност стартира опасния вариант. Той от своя страна сваля нов PowerShell скрипт, който:

  • събира информация за системата,
  • осигурява постоянен достъп на хакерите,
  • свързва компютъра със сървър за управление (C2),
  • и изтегля нови зловредни програми, включително крадеца на данни Fickle Stealer.

Нови техники за заразяване

Изследователите съобщават и за други похвати:

  • SilentCrystal – зловреден софтуер, написан на Go, който използва Brave Support (поддръжката на браузъра Brave) като хостинг за следващите етапи на атаката. Това е особено притеснително, защото качването на файлове там е ограничено и подсказва, че хакерите са получили неоторизиран достъп до акаунт.
  • Фалшиви видеоконферентни платформи като RivaTalk, чрез които жертвите биват подмамвани да изтеглят инсталатори (.MSI файлове). При стартиране те зареждат легитимни файлове от Symantec, но в комбинация с подменени DLL библиотеки, които отново отварят врата за PowerShell скриптове и кражба на информация.
  • Измамни дейности във фонов режим – зловредният код стартира „системни съобщения“, за да не събуди съмнения, докато в същото време генерира фалшив интернет трафик към популярни сайтове, за да прикрие връзката си със сървъра на атакуващите.

Защо EncryptHub е опасен?

Групата се появи през 2024 г. и бързо стана известна със своята активност. Тя е финансово мотивирана и използва разнообразни методи за достъп до жертвите – от фалшиви обяви за работа и прегледи на портфолиа, до заразяване на игри в Steam.

Според Trustwave, EncryptHub разполага със сериозни ресурси и умения, като съчетава измамни техники, експлоатация на уязвимости и злоупотреба с доверени платформи. Това прави атаките им трудни за засичане и блокиране.

Как да се предпазим?

  • Актуализации: Инсталирайте редовно всички Windows ъпдейти.
  • Обучение: Обяснете на служителите да не приемат непознати покани в Teams или други комуникационни приложения.
  • Защита на мрежата: Използвайте многостепенни системи за сигурност и мониторинг на трафика.
  • Внимание към файловете: Не отваряйте MSC, MSI или други изпълними файлове от непознат източник.

В заключение, кампанията на EncryptHub е поредното напомняне, че киберсигурността зависи не само от технологиите, но и от вниманието на потребителите.

Тагове:

#Windows | #Зловреден Софтуер | #Кражба На Данни |

Последни Публикации

1
момиче е атакувано от измамници през чат приложения, но изкуствен интелект я предупреждава, че се опитват да я измамят

WhatsApp и Messenger с нова защита от измами

Meta, компанията зад Facebook, Instagram, WhatsApp и Messenger, обяви на 21 октомври 2025 г., че въвежда нови функции, за да предпази потребителите на своите приложения от онлайн измами. Тези инструменти имат за цел да помогнат на хората да разпознават и избягват потенциални измамници, които се опит ...
2
ферма със sim карти

Европол разби сложна мрежа за киберизмами със SIM ферми

На 10 октомври 2025 г. Европол, европейската полицейска агенция, обяви, че е разбила сложна платформа за киберпрестъпления, известна като "киберпрестъпност като услуга" (Cybercrime-as-a-Service, CaaS). Тази платформа е използвала т.нар. SIM ферма – система от устройства, които управляват голям брой ...
3
лого на Windows, изобразено като щит

Microsoft поправя 183 уязвимости: Три вече се използват от хакери

На 14 октомври 2025 г. Microsoft публикува корекции за рекордните 183 уязвимости в сигурността на своите продукти. Сред тях има три уязвимости, които вече се използват активно от хакери. В същото време компанията официално прекрати поддръжката на операционната система Windows 10, освен за компютри, ...
4
хакер поема контрола над RTU устройство и управлява електрическата мрежа

Сериозни уязвимости в устройства на Red Lion: Заплаха за промишлените системи

Изследователи в областта на киберсигурността разкриха два сериозни проблема в сигурността на продуктите на Red Lion Sixnet, наречени "дистанционни терминални устройства" (RTU), които се използват в промишлени системи. Ако тези уязвимости бъдат използвани от злонамерени лица, те могат да позволят изп ...
5
отбор от супергерои се бори с кибер заплахите в интернет

Киберзаплахите на седмицата: нови атаки, обединени хакери и уязвимости в големи системи

Всяка седмица дигиталният свят ни напомня, че тишината не означава сигурност. Кибератаките често започват тихо – една незащитена уязвимост, забравена парола или незашифровано резервно копие. Когато алармата най-после се задейства, щетите вече са нанесени.Тази седмица ще разгледаме как нападателите п ...
6
Управител на корпорация е силно притеснен от кибер заплахите пред бизнеса

Дигиталните заплахи: Седмичен Бюлетин

Киберсветът в турбо режим: Заплахите стават все по-умни Живеем във време, в което удобството върви ръка за ръка с риска. Всяко умно устройство, всяка нова услуга в облака и всяка чат платформа, която ни улеснява, всъщност разширява "бойната линия", по която могат да ни атакуват хакерите. Вече не гов ...