Powszechna kampania phishingowa wykorzystująca złośliwe oprogramowanie Upcrypter jest ukierunkowane na użytkowników systemu Windows na całym świecie, w celu ustalenia długoterminowego zdalnego dostępu do zagrożonych systemów. Badacze cyberbezpieczeństwa w FortInet’s Fortiguard Labs śledzą wzrost tych ataków od początku 2025 r.
Wektor ataku obejmuje e -maile phishingowe przebrane za pominięte poczty głosowe lub zamówienia zakupowe. Te e -maile przekierowują ofiary, aby przekonać fałszywe strony internetowe, które skłoniły ich do pobrania pliku zip. To archiwum ZIP zawiera mocno zaciemniony zakraplacz JavaScript.
Według Cara Lin, badacza Fortinet Fortiguard Labs, te złośliwe strony zostały zaprojektowane tak, aby zwabić odbiorców do pobierania pozornie nieszkodliwych plików JavaScript. Po wykonaniu JavaScript wyzwala polecenia PowerShell w tle, nawiązując połączenie z serwerami kontrolowanymi przez atakującego w celu pobrania następnego etapu złośliwego oprogramowania.
Ładowiec Upcrypter skanuje następnie zagrożony system dla środowisk piaskownicy lub narzędzi kryminalistycznych. Jeśli zostanie wykryte, upcrypter zmusi ponowne uruchomienie w celu zakłócenia analizy. Jeśli żadne takie przeszkody nie są obecne, pobieranie i wykonuje dalsze ładunki, czasami ukrywając te pliki w obrazach za pomocą steganografii, aby uniknąć wykrywania antywirusowego.
Ostatnim etapem ataku obejmuje wdrażanie narzędzi do zdalnego dostępu (szczury), w tym PureHVNC, DCRAT (szczur Darkcrystal) i Babilon Rat. PureHVNC umożliwia ukryty zdalny dostęp do pulpitu, podczas gdy DCRAT zapewnia narzędzie wielofunkcyjne do szpiegowania i kradzieży danych. Babilon Rat umożliwia atakującym pełną kontrolę nad zainfekowanym urządzeniem.
Naukowcy Fortinet zauważyli, że atakujący stosują różne techniki, aby ukryć swój złośliwy kod. Obejmują one zaciemnienie ciągów, modyfikację ustawień rejestru w celu wytrwałości oraz wykonywanie kodu w pamięci, aby zminimalizować ślady na dysku.
Kampania phishingowa wykazała międzynarodowe zasięg, ze znaczną działalnością wykrytych w Austrii, Białorusi, Kanadzie, Egipcie, Indiach i Pakistanie. Sektory najbardziej ukierunkowane obejmują produkcję, technologię, opiekę zdrowotną, budowę i detaliczną/gościnność. Wykrycia złośliwego oprogramowania z Upcrypter podwoiły się w ciągu zaledwie dwóch tygodni, podkreślając szybką ekspansję tej kampanii.
Ten atak nie polega tylko na kradzieży poświadczeń; Ma na celu wdrożenie łańcucha złośliwego oprogramowania przeznaczonego do pozostania ukrytym w systemach korporacyjnych przez dłuższy czas, zapewniając atakującym uporczywy dostęp. Fortinet doradza użytkownikom i organizacjom, aby poważnie traktowali to zagrożenie, wdrażając silne filtry e -mail i zapewniając szkolenie personelu, aby rozpoznać i uniknąć tego rodzaju ataków phishingowych.
Source: Fortinet ostrzega przed kampanią phishingową złośliwego oprogramowania
