Er is een wereldwijde phishing -aanval aan de gang en richt zich op Windows -gebruikers via misleidende e -mails met UPCRYPTER -malware. De aanval, geïdentificeerd door onderzoekers van cybersecurity, heeft als doel hackers afstandsbediening te geven over gecompromitteerde systemen wereldwijd.
Fortinet’s Fortiguard Labs heeft de UpCrypter -activiteit actief gevolgd. UPCRYPTER functioneert als een lader, ontworpen om verschillende externe toegangstools (ratten) te installeren. Met deze tools kunnen kwaadaardige actoren aanhoudende toegang tot geïnfecteerde machines handhaven, waardoor een belangrijke bedreiging voor gegevensbeveiliging en systeemintegriteit vormt.
De phishing -e -mails zijn vervaardigd om te verschijnen als legitieme meldingen, vaak vermomd als gemiste voicemails of inkooporders. Potentiële slachtoffers die omgaan met de bijlagen die in deze e -mails zijn opgenomen, worden doorgestuurd naar frauduleuze websites. Deze websites zijn ontworpen om vertrouwde platforms na te bootsen, waarbij ze vaak bedrijfslogo’s opnemen om geloofwaardigheid te verbeteren en gebruikers te misleiden om te geloven dat ze interactie hebben met een legitieme entiteit.
Volgens Fortinet vragen deze misleidende webpagina’s gebruikers ertoe een zip -bestand te downloaden. Dit bestand bevat een zwaar verdoezelde JavaScript -druppelaar, die het malware -infectieproces initieert. Na uitvoering activeert de JavaScript -dropper PowerShell -opdrachten op de achtergrond. Deze opdrachten leggen verbindingen tot aan aanvallers gecontroleerde servers, waardoor de download en uitvoering van de volgende fasen van de malware worden vergemakkelijkt.
Cara Lin, een onderzoeker van Fortinet Fortiguard Labs, vermeld“Deze pagina’s zijn ontworpen om ontvangers te lokken om JavaScript -bestanden te downloaden die fungeren als druppers voor UPCRYPTER.” Dit benadrukt de misleidende aard van de aanval en het belang van waakzaamheid van gebruikers bij het identificeren en vermijden van dergelijke bedreigingen.
Eenmaal uitgevoerd, voert UPCRYPTER een systeemscan uit om de aanwezigheid van sandbox -omgevingen of forensische hulpmiddelen te identificeren. Deze omgevingen worden vaak door beveiligingsonderzoekers gebruikt om malwaregedrag te analyseren. Als dergelijke tools worden gedetecteerd, probeert UPCRYPTER de analyse te dwarsbomen door een systeem opnieuw op te starten, waardoor het onderzoeksproces wordt verstoord.
Als er geen monitoringtools worden gedetecteerd, gaat UPCRYPTER verder met het downloaden en uitvoeren van extra kwaadaardige payloads. In sommige gevallen gebruiken de aanvallers steganografie en verbergen deze payloads binnen schijnbaar onschadelijke beelden. Met deze techniek kunnen ze antivirussoftware -detectiemechanismen omzeilen, waardoor de kans op succesvolle infecties vergroot.
De laatste fase van de aanval omvat de inzet van verschillende malwarevarianten, waaronder:
- Purehvnc: Deze tool verleent aanvallers verborgen externe bureaubladtoegang tot het gecompromitteerde systeem, waardoor ze ongeautoriseerde acties kunnen uitvoeren zonder de kennis van de gebruiker.
- Dcrat (DarkCrystal Rat): Een multifunctioneel tool voor externe toegang die wordt gebruikt voor spionage en gegevensuitvoer. Met deze rat kunnen aanvallers gevoelige informatie stelen en gebruikersactiviteit bewaken.
- Babylon Rat: Deze rat biedt aanvallers volledige controle over het geïnfecteerde apparaat, waardoor ze opdrachten kunnen uitvoeren, toegang hebben tot bestanden en andere kwaadaardige activiteiten kunnen uitvoeren.
Fortinet -onderzoekers hebben opgemerkt dat de aanvallers verschillende methoden gebruiken om hun kwaadaardige code te verbergen. Deze omvatten String Obfuscation, Wijziging van registerinstellingen voor persistentie en uitvoering van de geheugencode om de voetafdruk op de schijf te minimaliseren en detectie te ontwijken.
De phishing -campagne is sinds begin augustus 2025 actief en vertoont een wereldwijd bereik. Hoge hoeveelheden activiteit zijn waargenomen in Oostenrijk, Wit -Rusland, Canada, Egypte, India en Pakistan. De sectoren die het meest worden getroffen door deze campagne omvat productie, technologie, gezondheidszorg, bouw en detailhandel/gastvrijheid. Gegevens suggereren de snelle proliferatie van deze dreiging, met detecties die verdubbelen binnen een periode van twee weken.
Deze aanval is ontworpen voor langdurige persistentie en levert een keten van malware die verborgen blijft in bedrijfssystemen. Fortinet adviseert: “Gebruikers en organisaties moeten deze dreiging serieus nemen, sterke e -mailfilters gebruiken en ervoor zorgen dat het personeel wordt getraind om dit soort aanvallen te herkennen en te vermijden.”
