Il gruppo di cybercriminali noto come EncryptHub, identificato anche come LARVA-208 e Water Gamayun, ha lanciato una nuova campagna mirata agli sviluppatori Web3 allo scopo di infettarli con malware di tipo information stealer. Questa evoluzione tattica vede EncryptHub utilizzare falsi strumenti di intelligenza artificiale, come il sito Norlax AI che imita piattaforme legittime quali Teampilot, per attirare le vittime tramite offerte di lavoro o richieste di revisione del portfolio.

Gli sviluppatori Web3 rappresentano un obiettivo particolarmente interessante per gli attaccanti, in quanto spesso gestiscono portafogli di criptovaluta, repository di smart contract o ambienti di test sensibili. La loro natura freelance e la collaborazione tra diversi progetti decentralizzati li rende difficili da proteggere tramite i classici controlli di sicurezza aziendale, rendendo questa comunità un bersaglio ideale per cybercriminali alla ricerca di monetizzazione rapida e discreta.

L’attacco si sviluppa attraverso la redirezione delle vittime verso piattaforme AI fraudolente, dove viene richiesto di cliccare su link di meeting fittizi. Questi link vengono diffusi tramite social come X (ex Twitter) e Telegram, spesso simulando colloqui di lavoro o discussioni su portfolio. Nonostante la piattaforma Remote3, dedicata a offerte di lavoro Web3, abbia avvisato gli utenti sui rischi di scaricare software sconosciuti, gli attaccanti aggirano le difese avviando le prime conversazioni su Google Meet per poi invitare le vittime a proseguire su Norlax AI.

Una volta che la vittima clicca sul link, viene invitata a inserire email e codice di invito, ricevendo poi un finto messaggio di errore relativo a driver audio mancanti. Cliccando su questo avviso, viene scaricato un software dannoso camuffato da driver Realtek, che esegue comandi PowerShell per scaricare e installare il malware Fickle Stealer. Questo software malevolo raccoglie informazioni sensibili, come dati di portafogli cripto e credenziali di sviluppo, inviandole a un server sotto controllo degli attaccanti denominato SilentPrism.

Questa strategia dimostra una chiara tendenza verso la diversificazione delle tecniche di monetizzazione, puntando non solo al ransomware ma anche al furto e alla rivendita di dati e credenziali nei mercati illeciti. Contestualmente, si osserva l’emergere di nuove varianti di ransomware come KAWA4096 e Crux, che sfruttano strumenti legittimi come svchost.exe e bcdedit.exe per mascherare le proprie attività e massimizzare l’efficacia delle infezioni.