O grupo de cibercriminosos EncryptHub, conhecido por sua motivação financeira, tem intensificado suas operações maliciosas, empregando técnicas sofisticadas de phishing para disseminar ransomware e ladrões de informações. Além disso, o grupo está desenvolvendo uma nova ferramenta chamada EncryptRAT, voltada para o controle remoto de dispositivos comprometidos.
EncryptHub amplia ataques com novas táticas de infecção
De acordo com um relatório da Outpost24 KrakenLabs, compartilhado com o The Hacker News, o EncryptHub tem direcionado suas ações contra usuários de aplicativos populares, distribuindo versões adulteradas desses programas. Outro método utilizado inclui o aproveitamento de serviços de Pay-Per-Install (PPI) para expandir sua distribuição maliciosa.
O EncryptHub, identificado pela empresa de segurança PRODAFT como LARVA-208, iniciou suas atividades em junho de 2024 e tem se valido de diferentes abordagens para enganar vítimas. As táticas incluem phishing via SMS (smishing) e chamadas fraudulentas (vishing) para induzir alvos a instalar softwares de acesso remoto (RMM).
As investigações apontam que o grupo tem laços com os coletivos de ransomware RansomHub e Blacksuit, utilizando engenharia social avançada para atingir empresas e indivíduos de alto valor. Uma das estratégias mais comuns envolve a criação de páginas falsas para capturar credenciais de VPN de organizações-alvo. Em alguns casos, os cibercriminosos entram em contato direto com as vítimas, fingindo ser equipes de suporte técnico e solicitando informações sensíveis sob o pretexto de solucionar problemas técnicos.
Notícias Relacionadas
Segurança Cibernética
JavaScript malicioso compromete 150 mil sites e redireciona para jogos de azar
Uma campanha maliciosa comprometeu cerca de 150.000 sites por meio de injeções de JavaScript, redirecionando visitantes para plataformas de jogos de azar chinesas. Administradores de sites devem adotar medidas proativas para proteger suas plataformas.
Ataque cibernético
APT36 usa site falso do India Post para espalhar malware
O grupo APT36 criou um site falso do India Post para distribuir malware em dispositivos Windows e Android. O golpe usa arquivos PDF maliciosos e um app disfarçado para roubo de dados, explorando técnicas avançadas como ClickFix para infectar vítimas.
Softwares falsificados e distribuição de malware
O EncryptHub tem se aproveitado de aplicativos trojanizados para obter acesso inicial aos dispositivos das vítimas. Entre os programas comprometidos estão versões alteradas de QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 e Palo Alto Global Protect. Esses aplicativos, uma vez instalados, acionam uma cadeia de infecção que leva ao roubo de credenciais e outros dados sensíveis.
Desde janeiro de 2025, uma peça-chave na disseminação dos ataques tem sido o uso do serviço PPI LabInstalls. Essa plataforma permite que cibercriminosos paguem para distribuir seu malware em larga escala, com pacotes variando de US$ 10 para 100 instalações até US$ 450 para 10.000 infecções. A Outpost24 confirmou a utilização do serviço pelo EncryptHub por meio de postagens do grupo em fóruns underground.
EncryptRAT: um novo nível de controle sobre infecções
Além das técnicas já empregadas, o EncryptHub está investindo no desenvolvimento do EncryptRAT, um painel de controle que permite gerenciar dispositivos infectados, emitir comandos remotos e acessar dados roubados. Indícios sugerem que o grupo pode estar planejando comercializar essa ferramenta para outros criminosos cibernéticos.
Diante dessa evolução constante das táticas do EncryptHub, especialistas reforçam a necessidade de monitoramento contínuo e implementação de estratégias de segurança robustas. Adoção de autenticação multifator, conscientização contra golpes de phishing e o uso de soluções avançadas de detecção de ameaças são fundamentais para mitigar os riscos.
