EncryptHub: Harmloser Download wird zur Gefahr

Im Rahmen der Analyse von Outpost24 konnte das KrakenLabs Threat Intelligence Team tiefe Einblicke in die Angriffstechniken von EncryptHub gewinnen. Besonders auffällig: Die Gruppe setzt auf eine Kombination aus Social Engineering, trojanisierten Anwendungen und verschachtelten PowerShell-Skripten, um gezielt Nutzer zu kompromittieren.

Die wichtigsten Erkenntnisse

Gefälschte Software als Einfallstor
EncryptHub verbreitet infizierte Versionen beliebter Programme wie WeChat, Google Meet oder QQ-Talk. Wer die manipulierte Software installiert, öffnet der Schadsoftware Tür und Tor.

Schrittweise Übernahme
Nach der Installation beginnt ein mehrstufiger Prozess, bei dem das System zunächst analysiert und Daten gesammelt werden, bevor weitere Schadmodule nachgeladen werden.

Gezielte Opferauswahl
Die Angriffe richten sich insbesondere gegen Nutzer mit Krypto-Wallets, VPN-Verbindungen oder geschäftlichen IT-Netzwerken.

Eigenes Malware-Framework
EncryptHub entwickelt aktiv ein eigenes Tool namens EncryptRAT, das als zentrale Steuerzentrale für Angriffe dient und Info-Stealer integriert.

Professionelle Verbreitungsstrategie
Die Gruppe nutzt kommerzielle Pay-per-Install-Dienste wie LabInstalls, um ihre Malware möglichst effizient zu verbreiten.

Was bedeutet das für Unternehmen und Endnutzer?

EncryptHub zeigt, wie raffiniert und gut organisiert Cyberkriminelle mittlerweile vorgehen und verdeutlicht einmal mehr warum die klassische Regel „nur von vertrauenswürdigen Quellen herunterladen“ so wichtig ist.

Unternehmen sollten daher verstärkt auf mehrschichtige Sicherheitsstrategien setzen:

Zero-Trust-Ansatz
Keine Software oder Datei sollte ungeprüft ausgeführt werden.

Regelmäßige Sicherheitsupdates und Patching
Bekannte Sicherheitslücken können so nicht ausgenutzt werden.

Einsatz moderner Threat-Intelligence-Lösungen
Neue Bedrohungen werden durch kontinuierliche Überwachung frühzeitig erkannt.