Хакерската група EncryptHub продължава с нови атаки срещу Windows

Хакерската група EncryptHub, известна още като LARVA-208 и Water Gamayun, отново е в центъра на вниманието. Изследователи от Trustwave SpiderLabs съобщават, че групата използва уязвимост в Microsoft Windows (CVE-2025-26633, наричана MSC EvilTwin), за да заразява компютри с опасен зловреден софтуер. Макар проблемът вече да е официално поправен от Microsoft, атаките продължават.

Как действат атаките?

EncryptHub комбинира социално инженерство (заблуждаване на жертвата чрез фалшиви съобщения и заявки) и техническа експлоатация на уязвимостта в Microsoft Management Console (MMC). Обикновено хакерите се представят за служители от IT отдела и изпращат покани в Microsoft Teams. След като жертвата приеме, те опитват да установят дистанционна връзка и да изпълнят злонамерени PowerShell команди.

При атаката се използват два файла с разширение MSC и еднакви имена – единият е безобиден, а другият – заразен. Когато жертвата отвори „чистия“ файл, системата всъщност стартира опасния вариант. Той от своя страна сваля нов PowerShell скрипт, който:

• събира информация за системата,
• осигурява постоянен достъп на хакерите,
• свързва компютъра със сървър за управление (C2),
• и изтегля нови зловредни програми, включително крадеца на данни Fickle Stealer.

Нови техники за заразяване

Изследователите съобщават и за други похвати:

• SilentCrystal – зловреден софтуер, написан на Go, който използва Brave Support (поддръжката на браузъра Brave) като хостинг за следващите етапи на атаката. Това е особено притеснително, защото качването на файлове там е ограничено и подсказва, че хакерите са получили неоторизиран достъп до акаунт.
• Фалшиви видеоконферентни платформи като RivaTalk, чрез които жертвите биват подмамвани да изтеглят инсталатори (.MSI файлове). При стартиране те зареждат легитимни файлове от Symantec, но в комбинация с подменени DLL библиотеки, които отново отварят врата за PowerShell скриптове и кражба на информация.
• Измамни дейности във фонов режим – зловредният код стартира „системни съобщения“, за да не събуди съмнения, докато в същото време генерира фалшив интернет трафик към популярни сайтове, за да прикрие връзката си със сървъра на атакуващите.

Защо EncryptHub е опасен?

Групата се появи през 2024 г. и бързо стана известна със своята активност. Тя е финансово мотивирана и използва разнообразни методи за достъп до жертвите – от фалшиви обяви за работа и прегледи на портфолиа, до заразяване на игри в Steam.

Според Trustwave, EncryptHub разполага със сериозни ресурси и умения, като съчетава измамни техники, експлоатация на уязвимости и злоупотреба с доверени платформи. Това прави атаките им трудни за засичане и блокиране.

Как да се предпазим?

• Актуализации: Инсталирайте редовно всички Windows ъпдейти.
• Обучение: Обяснете на служителите да не приемат непознати покани в Teams или други комуникационни приложения.
• Защита на мрежата: Използвайте многостепенни системи за сигурност и мониторинг на трафика.
• Внимание към файловете: Не отваряйте MSC, MSI или други изпълними файлове от непознат източник.

В заключение, кампанията на EncryptHub е поредното напомняне, че киберсигурността зависи не само от технологиите, но и от вниманието на потребителите.