ИИ — прикрытие, крипта — добыча: EncryptHub делает ставку на обман доверчивых фрилансеров

EncryptHub Web3 криптокошелёк вредонос разработчик фейковый AI собеседование
ИИ — прикрытие, крипта — добыча: EncryptHub делает ставку на обман доверчивых фрилансеров
EncryptHub Web3 криптокошелёк вредонос разработчик фейковый AI собеседование

За маской искусственного интеллекта скрывается Fickle Stealer — вор цифровых кошельков.

image

Группа хакеров EncryptHub, также известная как LARVA-208 и Water Gamayun, запустила новую атаку , нацеленную на разработчиков в сфере Web3. Цель — заразить их вредоносным ПО, крадущим данные, включая криптовалютные кошельки и доступ к проектам.

Эксперты из швейцарской компании PRODAFT сообщают, что злоумышленники изменили тактику и теперь маскируются под платформы искусственного интеллекта, такие как фальшивый сайт Norlax AI, который внешне имитирует Teampilot. Через такие площадки они предлагают жертвам «работу» или «оценку портфолио», в реальности заманивая их на вредоносные ресурсы.

Ранее EncryptHub использовала программы-вымогатели, но теперь её участники сосредоточились на краже информации, которую можно быстро монетизировать. Разработчики Web3 — удобная цель. У многих из них есть доступ к криптокошелькам , хранилищам смарт-контрактов и тестовым средам. К тому же они часто работают вне корпоративной структуры, что делает защиту сложной, а атаки — менее заметными.

Мошенники распространяют ссылки на поддельные платформы через Telegram и X, притворяясь работодателями или заказчиками. Иногда они публикуют вакансии на специализированной платформе Remote3, а затем отправляют откликнувшимся ссылку якобы на собеседование.

Чтобы обойти предупреждения самого Remote3 о вредоносном ПО, злоумышленники начинают общение через Google Meet . Уже во время разговора они просят соискателя перейти на стороннюю платформу — например, Norlax AI — якобы для продолжения интервью. Там пользователю предлагают ввести e-mail и код приглашения, а затем выдают сообщение об ошибке, связанной с отсутствием аудиодрайвера.

Под предлогом устранения ошибки система предлагает загрузить файл, замаскированный под Realtek HD Audio Driver. На самом деле это вредонос, который с помощью PowerShell загружает и запускает Fickle Stealer — программу, крадущую данные и передающую их на внешний сервер с кодовым названием SilentPrism.

По данным PRODAFT, эта кампания демонстрирует смену стратегии: от прямого вымогательства к извлечению прибыли за счёт продажи украденных криптокошельков , логинов и конфиденциальных данных на чёрном рынке.

На этом фоне появились и другие угрозы. Исследователи из Trustwave SpiderLabs рассказали о новом шифровальщике KAWA4096, стиль которого напоминает группировку Akira . Шантажисты используют структуру записки, похожую на Qilin, чтобы выглядеть более авторитетными в киберпреступной среде. С июня 2025 года жертвами этой программы стали как минимум 11 компаний, преимущественно в США и Японии. Как хакеры проникают в сети, пока неизвестно.

Особенность KAWA4096 — способность шифровать файлы на сетевых дисках. Он использует многопоточность, чтобы ускорить процесс сканирования и шифрования. Все найденные файлы отправляются в общую очередь, а далее обрабатываются параллельно несколькими потоками. Такая архитектура повышает эффективность атаки.

Появился и ещё один новичок — вымогатель под названием Crux. Он называет себя частью группировки BlackByte и был замечен в трёх атаках 4 и 13 июля. В одном из случаев хакеры получили доступ через легальные учётные данные и RDP. Общей чертой всех атак стало использование стандартных инструментов Windows — svchost.exe и bcdedit.exe — для сокрытия вредоносных команд и вмешательства в настройки загрузки, чтобы усложнить восстановление системы.

По мнению специалистов Huntress, Crux активно использует легитимные процессы Windows, что затрудняет его обнаружение. Однако постоянный мониторинг активности этих процессов с помощью EDR -систем может помочь выявить атаку до того, как она приведёт к серьёзным последствиям.