Sommario
EncryptHub è un malware avanzato recentemente analizzato dai ricercatori di sicurezza di Outpost24’s KrakenLabs. Si tratta di un’operazione sofisticata che utilizza tecniche di attacco multi-stadio per compromettere i dispositivi e rubare informazioni sensibili. Questo gruppo criminale si distingue per la capacità di diffondere il malware attraverso applicazioni trojanizzate e servizi pay-per-install (PPI), mirando a utenti e aziende su scala globale.
EncryptHub è stato identificato grazie a gravi errori operativi (OPSEC) che hanno permesso agli esperti di analizzare il suo backend. Il malware si affida a tecniche avanzate di evasione e crittografia per evitare il rilevamento, utilizzando server di comando e controllo (C2) basati su bot Telegram per la gestione delle infezioni.
Distribuzione e tecniche di attacco
Il malware viene diffuso tramite software apparentemente legittimi, tra cui applicazioni come Google Meet, WeChat, Palo Alto GlobalProtect e Microsoft Visual Studio 2022. Una volta installati, questi programmi malevoli avviano il processo di infezione, raccogliendo credenziali di accesso, cookie del browser e dati finanziari.
EncryptHub sfrutta servizi PPI come LabInstalls, che automatizzano la distribuzione del malware su migliaia di dispositivi. Questo approccio permette agli attaccanti di diffondere il codice malevolo senza eseguire campagne di phishing tradizionali.
Funzionamento del malware
L’attacco segue una struttura a più livelli. Il primo stadio prevede l’esecuzione di script PowerShell che raccolgono informazioni di sistema e trasmettono i dati ai server C2. In questa fase, vengono sottratti cookie di autenticazione, credenziali e portafogli di criptovalute.
Nel secondo stadio, il malware scarica ed esegue payload aggiuntivi, come stealer avanzati tra cui Kematian e Rhadamanthys. Per garantire la persistenza, EncryptHub utilizza tecniche di offuscamento basate su crittografia RC4 e compressione avanzata.
EncryptRAT e il controllo delle infezioni
Il gruppo criminale dietro EncryptHub sta sviluppando EncryptRAT, un pannello di comando e controllo che consente di gestire le infezioni in modo centralizzato. Questo strumento consente agli hacker di eseguire attacchi mirati, monitorare i dispositivi infetti e sottrarre dati senza essere rilevati.
EncryptHub rappresenta una minaccia significativa per aziende e utenti individuali. La combinazione di tecniche di evasione avanzate, distribuzione tramite software trojanizzati e un’infrastruttura C2 ben organizzata rende questo malware difficile da contrastare. Le organizzazioni devono adottare misure di sicurezza avanzate, tra cui il monitoraggio continuo del traffico di rete, soluzioni di rilevamento delle minacce basate sull’intelligenza artificiale e la formazione degli utenti sui rischi delle applicazioni non verificate.
