Trwa globalny atak phishingowy, kierując się użytkownikami systemu Windows poprzez zwodnicze e -maile zawierające złośliwe oprogramowanie. Atak, zidentyfikowany przez naukowców z zakresu bezpieczeństwa cybernetycznego, ma na celu zapewnienie hakerów zdalnych kontroli nad zagrożonymi systemami na całym świecie.
Fortiguard Labs Fortinet aktywnie śledzi działalność Upcrypter. Upcrypter działa jako ładowarka, zaprojektowana do instalowania różnych narzędzi dostępu zdalnego (szczury). Narzędzia te umożliwiają złośliwym podmiotom utrzymanie trwałego dostępu do zainfekowanych maszyn, stanowiąc poważne zagrożenie dla bezpieczeństwa danych i integralności systemu.
E -maile phishingowe są tworzone jako uzasadnione powiadomienia, często ukryte jako pominięte poczty głosowe lub zamówienia zakupowe. Potencjalne ofiary, które wchodzą w interakcje z załącznikami zawartymi w tych e -mailach, są przekierowane na fałszywe strony internetowe. Te strony internetowe mają naśladować zaufane platformy, często włączając logo firmowe w celu zwiększenia wiarygodności i oszukiwania użytkowników do przekonania, że wchodzą w interakcje z legalnym podmiotem.
Według Fortinet te zwodnicze strony internetowe zachęcają użytkowników do pobrania pliku zip. Ten plik zawiera mocno zaciemniony zakraplacz JavaScript, który inicjuje proces zakażenia złośliwym oprogramowaniem. Po wykonaniu JavaScript Dropper wyzwala polecenia PowerShell w tle. Polecenia te zawierają połączenia z serwerami kontrolowanymi przez atakującego, ułatwiając pobieranie i wykonywanie kolejnych etapów złośliwego oprogramowania.
Cara Lin, badacz Fortinet Fortiguard Labs, stwierdzono„Te strony mają na celu zachęcenie odbiorców do pobierania plików JavaScript, które działają jako dropppers dla upcrypter”. Podkreśla to zwodniczą naturę ataku i znaczenie czujności użytkownika w identyfikowaniu i unikaniu takich zagrożeń.
Po wykonaniu Upcrypter wykonuje skan systemowy w celu zidentyfikowania obecności środowisk piaskownicy lub narzędzi kryminalistycznych. Środowiska te są często wykorzystywane przez badaczy bezpieczeństwa do analizy zachowań złośliwego oprogramowania. Jeśli takie narzędzia zostaną wykryte, Upcrypter próbuje udaremnić analizę poprzez wymuszanie ponownego uruchamiania systemu, zakłócając proces dochodzenia.
Jeśli nie zostaną wykryte narzędzia do monitorowania, upcrypter przechodzi do pobierania i wykonywania dodatkowych złośliwych ładunków. W niektórych przypadkach atakujący stosują steganografię, ukrywając te ładunki w pozornie niewinnych obrazach. Ta technika pozwala im ominąć mechanizmy wykrywania oprogramowania przeciwwirusowego, zwiększając prawdopodobieństwo udanej infekcji.
Ostatni etap ataku obejmuje rozmieszczenie kilku wariantów złośliwego oprogramowania, w tym:
- Purehvnc: To narzędzie przyznaje atakującym ukryty dostęp do zdalnego komputera do kompromisowego systemu, umożliwiając im wykonywanie nieautoryzowanych działań bez wiedzy użytkownika.
- DCRAT (szczur Darkcrystal): Wielofunkcyjne narzędzie do zdalnego dostępu używane do szpiegowania i exfiltracji danych. Ten szczur umożliwia atakującym kradzież poufnych informacji i monitorowanie aktywności użytkownika.
- Babilon Rat: Ten szczur zapewnia atakującym pełną kontrolę nad zainfekowanym urządzeniem, umożliwiając im wykonywanie poleceń, dostęp do plików i wykonywanie innych złośliwych działań.
Badacze Fortinet zauważyli, że atakujący wykorzystują różne metody ukrywania swojego złośliwego kodu. Obejmują one zaciemnienie ciągów, modyfikację ustawień rejestru w celu wytrwałości oraz wykonywanie kodu w pamięci, aby zminimalizować ślad na dysku i uniknąć wykrywania.
Kampania phishingowa jest aktywna od początku 2025 r. I wykazuje globalny zasięg. Wysokie tomy aktywności zaobserwowano w Austrii, Białorusi, Kanadzie, Egipcie, Indiach i Pakistanie. Sektory najbardziej dotknięte tą kampanią obejmują produkcję, technologię, opiekę zdrowotną, budownictwo i detaliczną/gościnność. Dane sugerują szybką rozprzestrzenianie się tego zagrożenia, a wykrycia podwoiły się w ciągu dwóch tygodni.
Atak ten jest przeznaczony do długoterminowej trwałości, dostarczając łańcuch złośliwego oprogramowania, który pozostaje ukryty w systemach korporacyjnych. Fortinet doradza: „Użytkownicy i organizacje powinni poważnie traktować to zagrożenie, korzystać z silnych filtrów e -mail i upewnić się, że pracownicy są przeszkoleni do rozpoznawania i unikania tego rodzaju ataków”.
