Хакеры EncryptHub атакует разработчиков под личиной ИИ-продуктов

ГруппахакеровEncryptHub, также известная как LARVA-208 и Water Gamayun,запустила новую атаку, нацеленную на разработчиков в сфере Web3. Цель — заразить их вредоносным ПО, крадущим данные, включая криптовалютные кошельки и доступ к проектам.

Эксперты из швейцарской компании PRODAFT сообщают, что злоумышленники изменили тактику и теперь маскируются под платформы искусственного интеллекта, такие как фальшивый сайт Norlax AI, который внешне имитирует Teampilot. Через такие площадки они предлагают жертвам «работу» или «оценку портфолио», в реальности заманивая их на вредоносные ресурсы.

Ранее EncryptHubиспользовалапрограммы-вымогатели, но теперь её участники сосредоточились на краже информации, которую можно быстро монетизировать. Разработчики Web3 — удобная цель. У многих из них есть доступ ккриптокошелькам, хранилищам смарт-контрактов и тестовым средам. К тому же они часто работают вне корпоративной структуры, что делает защиту сложной, а атаки — менее заметными.

Мошенники распространяют ссылки на поддельные платформы через Telegram и X, притворяясь работодателями или заказчиками. Иногда они публикуют вакансии на специализированной платформе Remote3, а затем отправляют откликнувшимся ссылку якобы на собеседование.

Чтобы обойти предупреждения самого Remote3 о вредоносном ПО, злоумышленники начинают общение черезGoogle Meet. Уже во время разговора они просят соискателя перейти на стороннюю платформу — например, Norlax AI — якобы для продолжения интервью. Там пользователю предлагают ввести e-mail и код приглашения, а затем выдают сообщение об ошибке, связанной с отсутствием аудиодрайвера.

Под предлогом устранения ошибки система предлагает загрузить файл, замаскированный под Realtek HD Audio Driver. На самом деле это вредонос, который с помощью PowerShell загружает и запускает Fickle Stealer — программу, крадущую данные и передающую их на внешний сервер с кодовым названием SilentPrism.

По данным PRODAFT, эта кампания демонстрирует смену стратегии: от прямого вымогательства к извлечению прибыли за счёт продажиукраденных криптокошельков, логинов и конфиденциальных данных на чёрном рынке.