O agente de ameaças com motivação financeira conhecido como EncryptHub (também conhecido como LARVA-208 e Water Gamayun) foi atribuído a uma nova campanha que tem como alvo desenvolvedores Web3 para infectá-los com malware de roubo de informações.
"LARVA-208 evoluiu suas táticas, usando plataformas de IA falsas (por exemplo, Norlax AI, imitando Teampilot) para atrair vítimas com ofertas de emprego ou solicitações de revisão de portfólio", disse a empresa suíça de cibersegurança PRODAFT em uma declaração compartilhada com o site The Hacker News.
Enquanto o grupo tem um histórico de implantar ransomware, as últimas descobertas demonstram uma evolução de suas táticas e uma diversificação de seus métodos de monetização usando malware stealer para colher dados de carteiras de criptomoeda.
O foco do EncryptHub em desenvolvedores Web3 não é aleatório—estes indivíduos frequentemente gerenciam carteiras cripto, acessam repositórios de contratos inteligentes ou ambientes de teste sensíveis.
Muitos operam como freelancers ou trabalham em vários projetos descentralizados, tornando-os mais difíceis de proteger com controles tradicionais de segurança empresarial.
Esta comunidade descentralizada de desenvolvedores de alto valor apresenta um alvo ideal para atacantes que procuram monetizar rapidamente sem acionar defesas centralizadas.
As cadeias de ataque envolvem direcionar os alvos em potencial para plataformas de inteligência artificial (IA) enganosas e induzi-los a clicar em supostos links de reunião dentro desses sites.
Links de reunião para esses sites são enviados a desenvolvedores que seguem conteúdo relacionado a Web3 e Blockchain via plataformas como X e Telegram sob o pretexto de uma entrevista de emprego ou discussão de portfólio.
Os atores de ameaças também foram encontrados enviando os links de reunião para pessoas que se candidataram a posições postadas por eles em um quadro de empregos Web3 chamado Remote3.
O que é interessante é a abordagem usada pelos atacantes para contornar os avisos de segurança emitidos pelo Remote3 em seu site.
Dado que o serviço alerta explicitamente os candidatos a emprego contra o download de softwares de videoconferência desconhecidos, os atacantes conduzem uma conversa inicial via Google Meet, durante a qual instruem o candidato a retomar a entrevista no Norlax AI.
Independentemente do método usado, uma vez que a vítima clica no link da reunião, é solicitado que insira seu endereço de email e código de convite, seguindo-se uma falsa mensagem de erro sobre drivers de áudio desatualizados ou ausentes.
Clicar na mensagem leva ao download de software malicioso disfarçado de um autêntico Realtek HD Audio Driver, que executa comandos PowerShell para recuperar e implantar o Fickle Stealer.
As informações coletadas pelo malware stealer são transmitidas para um servidor externo codinome SilentPrism.
"Os atores de ameaças distribuem infostealers como o Fickle através de aplicações falsas de IA, colhendo com sucesso carteiras de criptomoeda, credenciais de desenvolvimento e dados de projetos sensíveis", disse a PRODAFT.
Essa operação mais recente sugere uma mudança para estratégias de monetização alternativas, incluindo a exfiltração de dados valiosos e credenciais para revenda potencial ou exploração em mercados ilícitos.
O desenvolvimento ocorre à medida que a Trustwave SpiderLabs detalhou um novo ransomware chamado KAWA4096 que "segue o estilo do grupo de ransomware Akira, e um formato de nota de resgate semelhante ao de Qilin, provavelmente uma tentativa de enriquecer ainda mais sua visibilidade e credibilidade."
O KAWA4096, que surgiu pela primeira vez em junho de 2025, teria como alvo 11 empresas, com o maior número de alvos localizados nos Estados Unidos e no Japão.
O vetor de acesso inicial usado nos ataques não é conhecido.
Uma característica notável do KAWA4096 é sua capacidade de criptografar arquivos em drives de rede compartilhados e o uso de multithreading para aumentar a eficiência operacional e acelerar o processo de digitalização e criptografia.
"Após identificar arquivos válidos, o ransomware os adiciona a uma fila compartilhada", disseram os pesquisadores de segurança Nathaniel Morales e John Basmayor.
Esta fila é processada por um pool de threads de trabalho, cada uma responsável por recuperar caminhos de arquivos e passá-los para a rotina de criptografia.
Um semáforo é usado para sincronização entre threads, garantindo o processamento eficiente da fila de arquivos.
Outra nova adição à paisagem de ransomware é Crux, que afirma fazer parte do grupo BlackByte e foi implantado no mundo real em três incidentes detectados em 4 e 13 de julho de 2025, segundo a Huntress.
Em um dos incidentes, os atores de ameaças foram encontrados utilizando credenciais válidas via RDP para obter um ponto de apoio na rede alvo.
Comum a todos os ataques é o uso de ferramentas legítimas do Windows como svchost.exe e bcdedit.exe para ocultar comandos maliciosos e modificar a configuração de inicialização de modo a inibir a recuperação do sistema.
"O ator de ameaças também tem claramente uma preferência por processos legítimos como bcdedit.exe e svchost.exe, então o monitoramento contínuo para comportamento suspeito usando esses processos via detecção e resposta a endpoints (EDR) pode ajudar a identificar atores de ameaças em seu ambiente", disse a Huntress.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...