Ein Klick auf den harmlos wirkenden Download-Button einer beliebten und damit unverdächtigen Kommunikations-App – und schon hat sich unbemerkt eine Schadsoftware auf dem System eingenistet. Diese Methode nutzen Cyberkriminelle aktuell verstärkt, um Opfer zu täuschen und zu schädigen. Auffallend ist eine aktuelle mehrstufige Malware-Kampagne, in der die Bedrohungsgruppe EncryptHub verschiedene Techniken zur Kompromittierung von Systemen einsetzt.
Im Rahmen der Analyse von Outpost24 konnte das KrakenLabs Threat Intelligence Team Einblicke in die Angriffstechniken von EncryptHub gewinnen. Besonders auffällig: Die Gruppe setzt auf eine Kombination aus Social Engineering, trojanisierten Anwendungen und verschachtelten PowerShell-Skripten, um gezielt Nutzer zu kompromittieren.
Die wichtigsten Erkenntnisse:
• Gefälschte Software als Einfallstor: EncryptHub verbreitet infizierte Versionen beliebter Programme wie WeChat, Google Meet oder QQ-Talk. Wer die manipulierte Software installiert, öffnet der Schadsoftware Tür und Tor.
• Schrittweise Übernahme: Nach der Installation beginnt ein mehrstufiger Prozess, bei dem das System zunächst analysiert und Daten gesammelt werden, bevor weitere Schadmodule nachgeladen werden.
• Gezielte Opferauswahl: Die Angriffe richten sich insbesondere gegen Nutzer mit Krypto-Wallets, VPN-Verbindungen oder geschäftlichen IT-Netzwerken.
• Eigenes Malware-Framework: EncryptHub entwickelt aktiv ein eigenes Tool namens EncryptRAT, das als zentrale Steuerzentrale für Angriffe dient und Info-Stealer integriert.
• Professionelle Verbreitungsstrategie: Die Gruppe nutzt kommerzielle Pay-per-Install-Dienste wie LabInstalls, um ihre Malware möglichst effizient zu verbreiten.
Was bedeutet das für Unternehmen und ihre Sicherheitsverantwortlichen? Das Beispiel EncryptHub zeigt, wie raffiniert und gut organisiert Cyberkriminelle mittlerweile vorgehen und verdeutlicht einmal mehr warum die klassische Regel „nur von vertrauenswürdigen Quellen herunterladen“ wichtiger denn je ist. Unternehmen sollten daher verstärkt auf mehrschichtige Sicherheitsstrategien setzen:
• Zero-Trust-Ansatz: Keine Software oder Datei sollte ungeprüft ausgeführt werden.
• Regelmäßige Sicherheitsupdates und Patching: Bekannte Sicherheitslücken können so nicht ausgenutzt werden.
• Einsatz moderner Threat-Intelligence-Lösungen: Neue Bedrohungen können durch kontinuierliche Überwachung frühzeitig erkannt werden.
