Olarak bilinen finansal olarak motive olmuş tehdit aktörü Şifreleme (AKA LARVA-208 ve Water Gamayun), Web3 geliştiricilerini bilgi çalma kötü amaçlı yazılımlarla enfekte etmeyi hedefleyen yeni bir kampanyaya atfedildi.
İsviçre siber güvenlik şirketi Produft, “Larva-208 taktiklerini, kurbanları iş teklifleri veya portföy inceleme talepleriyle cezbetmek için sahte AI platformları (örneğin, Norlax AI, Takım TeamPilot’u taklit etmek) kullanarak geliştirdi.” Dedi.
Grubun fidye yazılımlarını dağıtma geçmişi olsa da, en son bulgular taktiklerinin bir evrimini ve kripto para cüzdanlarından veri toplamak için Stealer kötü amaçlı yazılım kullanarak para kazanma yöntemlerinin çeşitliliğini göstermektedir.
EncryPthub’ın Web3 geliştiricilerine odaklanması rastgele değil – bunlar genellikle kripto cüzdanlarını, akıllı sözleşme depolarına erişimi veya hassas test ortamlarını yönetiyor. Birçoğu serbest çalışan olarak çalışır veya birden fazla merkezi olmayan projede çalışır, bu da geleneksel kurumsal güvenlik kontrolleriyle korunmayı zorlaştırır. Bu merkezi olmayan, yüksek değerli geliştirici topluluğu, merkezi savunmaları tetiklemeden hızlı bir şekilde para kazanmak isteyen saldırganlar için ideal bir hedef sunar.
Saldırı zincirleri, potansiyel hedefleri aldatıcı yapay zeka (AI) platformlarına yönlendirmeyi ve onları bu sitelerdeki iddia edilen toplantı bağlantılarını tıklamaya yönlendirmeyi gerektirir.
Bu sitelere ulaşma bağlantıları, bir iş görüşmesi veya portföy tartışması bahanesi altında Web3 ve blockchain ile ilgili içeriği X ve Telegram gibi platformlar aracılığıyla takip eden geliştiricilere gönderilir. Tehdit aktörleri, kendileri tarafından Remote3 adlı bir Web3 iş kurulunda gönderilen pozisyonlar için başvuran kişilere toplantı bağlantılarını gönderirken bulundu.
İlginç olan, saldırganlar tarafından Remote3 tarafından sitelerinde yayınlanan güvenlik uyarılarını kaldırma yaklaşımıdır. Hizmetin iş arayanları tanıdık olmayan video konferans yazılımını indirmeye karşı açıkça uyardığı göz önüne alındığında, saldırganlar Google Meet aracılığıyla ilk görüşme yürütürler ve bu süre zarfında başvuru sahibine röportajı devam ettirmelerini söylerler. Norlax AI.
Kullanılan yöntemden bağımsız olarak, kurban toplantı bağlantısını tıkladıktan sonra, e -posta adreslerini ve davet kodlarını girmeleri istenir, ardından eski veya eksik ses sürücüleri hakkında sahte bir hata mesajı sunulur.
Mesajı tıklamak, Fickle Stealer’ı almak ve dağıtmak için PowerShell komutlarını yürüten gerçek bir Realtek HD ses sürücüsü olarak gizlenmiş kötü amaçlı yazılımların indirilmesine yol açar. Stealer kötü amaçlı yazılım tarafından toplanan bilgiler, SilentPrism adlı harici bir sunucuya iletilir.
ProTaft, “Tehdit aktörleri, sahte AI uygulamaları aracılığıyla kararsızlar gibi infostalers’ları dağıtıyor, kripto para cüzdanları, geliştirme kimlik bilgileri ve hassas proje verilerini başarıyla hasat ediyor.” Dedi.
Diyerek şöyle devam etti: “Bu son operasyon, değerli verilerin ve yasadışı pazarlarda potansiyel yeniden satış veya sömürü için kimlik bilgilerinin verilmesi de dahil olmak üzere alternatif para kazanma stratejilerine geçiş öneriyor.”
Geliştirme, Trustwave SpiderLabs’ın Kawa4096 adlı yeni bir fidye yazılımı detaylandırdığı “Akira fidye yazılım grubunun stilini ve Qilin’e benzer bir fidye not formatını, muhtemelen görünürlüklerini ve güvenilirliklerini daha da zenginleştirme girişimi” olarak geliyor.
İlk olarak Haziran 2025’te ortaya çıkan KAWA4096’nın, ABD ve Japonya’da en fazla hedef olan 11 şirketi hedeflediği söyleniyor. Saldırılarda kullanılan ilk erişim vektörü bilinmemektedir.
KAWA4096’nın dikkate değer bir özelliği, paylaşılan ağ sürücülerindeki dosyaları şifreleme ve operasyonel verimliliği artırmak ve tarama ve şifreleme sürecini hızlandırmak için çok işlevsellik kullanımıdır.
Güvenlik araştırmacıları Nathaniel Morales ve John Basmayor, “Geçerli dosyaları belirledikten sonra fidye yazılımı onları paylaşılan bir kuyruğa ekliyor.” Dedi. “Bu kuyruk, her biri dosya yollarının alınmasından ve şifreleme rutinine aktarmaktan sorumlu bir işçi iplik havuzu tarafından işlenir. Dosyalar arasında senkronizasyon için bir semafor kullanılır ve dosya kuyruğunun verimli işlenmesini sağlar.”
Fidye yazılımı manzarasına bir başka yeni katılımcı, Blackbyte Grubunun bir parçası olduğunu iddia eden ve Huntress’e göre 4 ve 13 Temmuz 2025’te tespit edilen üç olayda vahşi doğada konuşlandırılan Crux.
Olaylardan birinde, tehdit aktörlerinin hedef ağda bir dayanak elde etmek için RDP aracılığıyla geçerli kimlik bilgilerinden yararlandığı bulunmuştur. Tüm saldırılarda ortak, kötü amaçlı komutları gizlemek ve sistem kurtarmayı engellemek için önyükleme yapılandırmasını değiştirmek için svchost.exe ve bcdedit.exe gibi meşru Windows araçlarının kullanılmasıdır.
Huntres, “Tehdit oyuncusu, BCDEDIT.EXE ve SVCHOST.EXE gibi meşru süreçler için de açıkça bir tercihi var, bu nedenle bu süreçleri uç nokta tespiti ve yanıtı (EDR) yoluyla kullanarak sürekli izleme, çevrenizdeki tehdit aktörlerini ortaya çıkarmasına yardımcı olabilir.” Dedi.