Finansijski motivisani hakeri poznat kao EncryptHub (poznat i kao LARVA-208 i Water Gamayun) pripisan je novoj kampanji koja cilja Web3 developere kako bi ih zarazila maliciozni softverom za krađu informacija.
„LARVA-208 je razvila svoju taktiku, koristeći lažne AI platforme (npr. Norlax AI, koja imitira Teampilot) kako bi namamila žrtve ponudama za posao ili zahtjevima za pregled portfolija“, saopštila je švicarska kompanija za sajber sigurnost PRODAFT za The Hacker News.
Iako grupa ima historiju korištenja ransomwarea, najnovija otkrića pokazuju evoluciju njenih taktika i diverzifikaciju metoda monetizacije korištenjem stealer malwarea za prikupljanje podataka iz kripto novčanika.
Fokus EncryptHuba na Web3 developere nije slučajan – ovi pojedinci često upravljaju kripto novčanicima, pristupom repozitorijima pametnih ugovora ili osjetljivim testnim okruženjima. Mnogi rade kao freelanceri ili na više decentraliziranih projekata, što ih otežava zaštititi tradicionalnim sigurnosnim kontrolama preduzeća. Ova decentralizirana zajednica programera visoke vrijednosti predstavlja idealnu metu za napadače koji žele brzo monetizirati bez aktiviranja centraliziranih odbrana.
Lanci napada uključuju usmjeravanje potencijalnih meta na obmanjujuće platforme umjetne inteligencije (AI) i njihovo prevaravanje da kliknu na navodne linkove za sastanke unutar tih stranica.
Linkovi za sastanke na ovim stranicama šalju se programerima koji prate sadržaj vezan za Web3 i Blockchain putem platformi poput X i Telegram pod izgovorom razgovora za posao ili diskusije o portfoliju. Također je otkriveno da akteri prijetnji šalju linkove za sastanke ljudima koji su se prijavili za pozicije koje su objavili na Web3 oglasnoj ploči za posao pod nazivom Remote3.
Zanimljiv je pristup koji su napadači koristili kako bi zaobišli sigurnosna upozorenja koja je Remote3 izdao na svojoj stranici. S obzirom na to da servis eksplicitno upozorava tražitelje posla da ne preuzimaju nepoznati softver za video konferencije, napadači obavljaju početni razgovor putem Google Meeta, tokom kojeg upućuju kandidata da nastavi intervju na Norlax AI-u .
Bez obzira na korištenu metodu, kada žrtva klikne na link za sastanak, od nje se traži da unese svoju adresu e-pošte i pozivni kod, nakon čega joj se prikazuje lažna poruka o grešci o zastarjelim ili nedostajućim audio drajverima.
Klikom na poruku preuzima se zlonamjerni softver prerušen u originalni Realtek HD Audio Driver, koji izvršava PowerShell naredbe za preuzimanje i implementaciju Fickle Stealer-a . Informacije koje prikuplja zlonamjerni softver za krađu podataka prenose se na vanjski server kodnog naziva SilentPrism.
„Hakeri distribuiraju kradljivce informacija poput Ficklea putem lažnih AI aplikacija, uspješno kradući kriptovalutne novčanike, razvojne kredencijale i osjetljive podatke o projektima“, rekao je PRODAFT.
“Ova najnovija operacija sugerira prelazak na alternativne strategije monetizacije, uključujući eksfiltraciju vrijednih podataka i akreditiva za potencijalnu preprodaju ili iskorištavanje na ilegalnim tržištima.”
Razvoj događaja dolazi nakon što je Trustwave SpiderLabs detaljno opisao novi soj ransomwarea pod nazivom KAWA4096 koji “prati stil Akira ransomware grupe i format otkupnine sličan Qilinovom , vjerovatno pokušaj da se dodatno obogati njihova vidljivost i kredibilitet”.
Navodi se da je KAWA4096, koji se prvi put pojavio u junu 2025. godine, ciljao 11 kompanija, a najveći broj meta se nalazio u Sjedinjenim Američkim Državama i Japanu. Početni vektor pristupa korišten u napadima nije poznat.
Značajna karakteristika KAWA4096 je njegova sposobnost šifriranja datoteka na dijeljenim mrežnim diskovima i korištenje višenitnog rada za povećanje operativne efikasnosti i ubrzanje procesa skeniranja i šifriranja.
„Nakon što idenfikovao valjane datoteke, ransomware ih dodaje u zajednički red čekanja“, rekli su sigurnosni istraživači Nathaniel Morales i John Basmayor . „Ovaj red čekanja obrađuje skup radnih niti, od kojih je svaka odgovorna za preuzimanje putanja datoteka i njihovo prosljeđivanje rutini za šifriranje. Semafor se koristi za sinhronizaciju među nitima, osiguravajući efikasnu obradu reda čekanja datoteka.“
Još jedan novi učesnik na tržištu ransomwarea je Crux, koji tvrdi da je dio BlackByte grupe i koji je, prema Huntress, bio korišten u tri incidenta otkrivena 4. i 13. jula 2025. godine.
U jednom od incidenata, otkriveno je da hakeri koriste važeće pristupne podatke putem RDP-a kako bi se učvrstili u ciljanoj mreži. Zajedničko za sve napade je korištenje legitimnih Windows alata poput svchost.exe i bcdedit.exe za prikrivanje zlonamjernih naredbi i izmjenu konfiguracije pokretanja kako bi se spriječio oporavak sistema.
„Prijetnja takođe očito preferira legitimne procese poput bcdedit.exe i svchost.exe, tako da kontinuirano praćenje sumnjivog ponašanja korištenjem ovih procesa putem detekcije i odgovora na krajnje tačke (EDR) može pomoći u otkrivanju prijetnji u vašem okruženju“, rekla je Huntress.
Izvor:The Hacker News
