Широко распространенная фишинговая кампания, использующая UPCrypter Whatware, нацелена на пользователей Windows по всему миру, с целью установления долгосрочного удаленного доступа к скомпрометированным системам. Исследователи кибербезопасности в Fortinet Fortiguard Labs отслеживают всплеск этих атак с начала августа 2025 года.
Вектор атаки включает в себя фишинговые электронные письма, замаскированные под пропущенные голосовые сообщения или заказы на покупку. Эти электронные письма перенаправляют жертв на убедительные фальшивые веб -сайты, которые побуждают их загрузить zip -файл. Этот zip -архив содержит сильно запутанную капельницу JavaScript.
По словам Кары Лин, исследователя Fortinet Fortiguard Labs, эти вредоносные страницы предназначены для привлечения получателей в загрузку, казалось бы, безвредных файлов JavaScript. После выполнения, JavaScript запускает команды PowerShell в фоновом режиме, установив связь с контролируемыми злоумышленниками серверами для загрузки следующего этапа вредоносного ПО.
Затем загрузчик UPCRYPTER сканирует скомпрометированную систему для среды песочницей или судебных инструментов. В случае обнаружения Upcrypter заставит перезагрузку для нарушения анализа. Если таких препятствий не присутствует, загружает и выполняет дополнительные полезные нагрузки, иногда скрывая эти файлы в изображениях, используя стеганографию, чтобы уклониться от обнаружения антивируса.
Последний этап атаки включает в себя развертывание инструментов удаленного доступа (крыс), включая PureHVNC, DCRAT (DarkCrystal Rat) и Babylon Rat. PureHVNC допускает скрытый доступ к удаленному рабочему столу, в то время как DCRAT предоставляет многофункциональный инструмент для шпионажа и кражи данных. Вавилонская крыса позволяет злоумышленникам получить полный контроль над зараженным устройством.
Исследователи Fortinet отметили, что злоумышленники используют различные методы, чтобы скрыть свой вредоносный код. К ним относятся запутывание строки, модификация настроек реестра для стойкости и выполнение кода в памяти, чтобы минимизировать следы на диске.
Фишинговая кампания продемонстрировала международный охват, со значительной деятельностью, обнаруженной в Австрии, Беларуси, Канаде, Египте, Индии и Пакистане. Наиболее целенаправленные сектора включают производство, технологии, здравоохранение, строительство и розничное/гостеприимство. Обнаружение вредоносного ПО УПРИПТЕра удвоилось всего за две недели, подчеркивая быстрое расширение этой кампании.
Эта атака не просто о краже полномочий; Он направлен на развертывание цепочки вредоносных программ, предназначенных для того, чтобы оставаться скрытой в корпоративных системах в течение длительного периода, предоставляя злоумышленникам постоянный доступ. Fortinet рекомендует пользователям и организациям серьезно относиться к этой угрозе, внедряя сильные фильтры по электронной почте и предоставляя обучение персонала для распознавания и избегания этих типов фишинговых атак.
Source: Fortinet предупреждает о фишинговой кампании Upcrypter
