EncryptHub 针对使用虚假 AI 平台部署 Fickle Stealer 恶意软件的 Web3 开发人员

快速阅读: 据《黑客新闻》最新报道，7月12日，EncryptHub攻击Web3开发者，利用虚假AI平台传播恶意软件。KAWA4096和Crux等新勒索软件也出现，威胁企业数据安全。

据瑞士网络安全公司PRODAFT报道，7月12日，一个名为EncryptHub（又名LARVA-208和Water Gamayun）的威胁组织，针对Web3开发者发起了一项新的攻击行动。此次攻击通过信息窃取恶意软件感染目标，主要手段是利用虚假的人工智能平台，如Norlax AI，以求职面试或作品集讨论为幌子吸引受害者。

EncryptHub的攻击策略包括将潜在目标引导至欺骗性AI平台，并通过X和Telegram等社交平台发送会议链接。这些链接还会发送给在Web3招聘网站Remote3上申请职位的开发者。攻击者首先通过Google Meet进行初步接触，然后引导受害者进入Norlax AI平台，以完成所谓的面试流程。

一旦受害者点击会议链接，系统会要求输入电子邮件地址和邀请码，随后显示一个关于音频驱动程序错误的假提示。点击该提示后，伪装成Realtek HD音频驱动程序的恶意软件将被下载，该软件会执行PowerShell命令，进而部署Fickle Stealer。Fickle Stealer收集的信息会被传送到名为SilentPrism的外部服务器，包括加密货币钱包、开发凭证和敏感项目数据。

此外，Trustwave SpiderLabs还报告了一种名为KAWA4096的新勒索软件变种，该变种首次出现于2025年6月，已针对11家公司，主要集中在美日两国。KAWA4096的特点是能够加密共享网络驱动器上的文件，并利用多线程技术提高加密效率。

另一个新出现的勒索软件Crux，据Huntress透露，自2025年7月4日起已在野外部署。Crux声称隶属于BlackByte小组，其攻击手段包括通过RDP使用有效凭证获取网络访问权限，并利用合法的Windows工具如svchost.exe和bcdedit.exe来隐藏恶意活动。安全专家建议通过端点检测与响应（EDR）持续监控这些工具中的可疑行为，以及时发现威胁。

(以上内容均由Ai生成)