Um ataque global de phishing está em andamento, direcionando os usuários do Windows por meio de e -mails enganosos contendo malware upcrypter. O ataque, identificado por pesquisadores de segurança cibernética, pretende dar aos hackers controle remoto sobre sistemas comprometidos em todo o mundo.
Os laboratórios FortiGuard da Fortinet têm rastreado ativamente a atividade de upcrypter. UpCrypter funciona como carregador, projetado para instalar várias ferramentas de acesso remoto (ratos). Essas ferramentas permitem que atores maliciosos mantenham o acesso persistente a máquinas infectadas, representando uma ameaça significativa à segurança de dados e à integridade do sistema.
Os e -mails de phishing são criados para aparecer como notificações legítimas, geralmente disfarçadas de correios de voz ou pedidos de compra perdidos. As vítimas em potencial que interagem com os anexos incluídas nesses e -mails são redirecionadas para sites fraudulentos. Esses sites são projetados para imitar plataformas confiáveis, incorporando frequentemente logotipos da empresa para aprimorar a credibilidade e enganar os usuários a acreditar que estão interagindo com uma entidade legítima.
De acordo com o Fortinet, essas páginas da Web enganosas levam os usuários a baixar um arquivo zip. Este arquivo contém um goteiro JavaScript fortemente ofuscado, que inicia o processo de infecção por malware. Após a execução, o conta -gotas JavaScript desencadeia os comandos do PowerShell em segundo plano. Esses comandos estabelecem conexões com servidores controlados por atacantes, facilitando o download e a execução dos estágios subsequentes do malware.
Cara Lin, pesquisador de laboratórios da Fortinet FortiGuard, declarado“Essas páginas são projetadas para atrair destinatários a baixar arquivos JavaScript que atuam como droppers para UpCrypter”. Isso destaca a natureza enganosa do ataque e a importância da vigilância do usuário ao identificar e evitar tais ameaças.
Depois de executado, o upcrypter executa uma verificação do sistema para identificar a presença de ambientes de sandbox ou ferramentas forenses. Esses ambientes são frequentemente usados pelos pesquisadores de segurança para analisar o comportamento de malware. Se essas ferramentas forem detectadas, o upcrypter tenta impedir a análise forçando uma reinicialização do sistema, interrompendo o processo de investigação.
Se nenhuma ferramenta de monitoramento for detectada, o UpCrypter continuará para baixar e executar cargas úteis maliciosas adicionais. Em alguns casos, os atacantes empregam a Steganografia, escondendo essas cargas úteis em imagens aparentemente inócuas. Essa técnica lhes permite ignorar os mecanismos de detecção de software antivírus, aumentando a probabilidade de infecção bem -sucedida.
A etapa final do ataque envolve a implantação de várias variantes de malware, incluindo:
- Purehvnc: Essa ferramenta concede aos invasores que ocultam o acesso à área de trabalho remota ao sistema comprometido, permitindo que eles executem ações não autorizadas sem o conhecimento do usuário.
- DCRAT (Rato Darkcrystal): Uma ferramenta de acesso remoto multifuncional usado para espionagem e exfiltração de dados. Este rato permite que os invasores roubem informações confidenciais e monitorem a atividade do usuário.
- Rato da Babilônia: Este rato fornece aos invasores controle completo sobre o dispositivo infectado, permitindo que eles executem comandos, acessem arquivos e executem outras atividades maliciosas.
Os pesquisadores da Fortinet observaram que os invasores utilizam vários métodos para ocultar seu código malicioso. Isso inclui ofuscação de string, modificação das configurações do registro para persistência e execução de código na memória para minimizar a pegada no disco e a detecção de fuga.
A campanha de phishing está ativa desde o início de agosto de 2025 e exibe um alcance global. Altos volumes de atividade foram observados na Áustria, Bielorrússia, Canadá, Egito, Índia e Paquistão. Os setores mais afetados por esta campanha incluem fabricação, tecnologia, saúde, construção e varejo/hospitalidade. Os dados sugerem a rápida proliferação dessa ameaça, com as detecções dobrando dentro de um período de duas semanas.
Esse ataque foi projetado para persistência a longo prazo, fornecendo uma cadeia de malware que permanece oculta nos sistemas corporativos. A Fortinet aconselha: “Usuários e organizações devem levar essa ameaça a sério, usar filtros de email fortes e garantir que os funcionários sejam treinados para reconhecer e evitar esses tipos de ataques”.
