È in corso un attacco globale di phishing, prendendo di mira gli utenti di Windows attraverso e -mail ingannevoli contenenti malware upcrypter. L’attacco, identificato dai ricercatori della sicurezza informatica, mira a dare agli hacker il controllo remoto sui sistemi compromessi in tutto il mondo.
Fortinet’s FortiGuard Labs ha monitorato attivamente l’attività di Upcrypter. Upcrypter funziona come un caricatore, progettato per installare vari strumenti di accesso remoto (ratti). Questi strumenti consentono agli attori dannosi di mantenere un accesso persistente alle macchine infette, ponendo una minaccia significativa per la sicurezza dei dati e l’integrità del sistema.
Le e -mail di phishing sono realizzate per apparire come notifiche legittime, spesso mascherate da vocali mancati o ordini di acquisto. Le potenziali vittime che interagiscono con gli allegati inclusi in queste e -mail vengono reindirizzate a siti Web fraudolenti. Questi siti Web sono progettati per imitare le piattaforme di fiducia, incorporando spesso loghi aziendali per migliorare la credibilità e ingannare gli utenti nel credere che stiano interagendo con un’entità legittima.
Secondo Fortinet, queste pagine Web ingannevoli spingono gli utenti a scaricare un file zip. Questo file contiene un contagocce Javascript fortemente offuscato, che avvia il processo di infezione da malware. Dopo l’esecuzione, il contagocce Javascript innesca i comandi PowerShell in background. Questi comandi stabiliscono connessioni ai server controllati dagli attaccanti, facilitando il download e l’esecuzione delle fasi successive del malware.
Cara Lin, una ricercatrice di Fortinet FortiGuard Labs, dichiarato“Queste pagine sono progettate per attirare i destinatari nel download di file JavaScript che fungono da gocce per upcrypter.” Ciò evidenzia la natura ingannevole dell’attacco e l’importanza della vigilanza dell’utente nell’identificare ed evitare tali minacce.
Una volta eseguito, UpCrypter esegue una scansione di sistema per identificare la presenza di ambienti sandbox o strumenti forensi. Questi ambienti sono spesso utilizzati dai ricercatori della sicurezza per analizzare il comportamento del malware. Se vengono rilevati tali strumenti, Upcrypter tenta di contrastare l’analisi forzando un riavvio del sistema, interrompendo il processo investigativo.
Se non vengono rilevati strumenti di monitoraggio, UpCrypter procede a scaricare ed eseguire carichi di utili per ulteriori. In alcuni casi, gli aggressori impiegano steganografia, nascondendo questi payload all’interno di immagini apparentemente innocue. Questa tecnica consente loro di bypassare i meccanismi di rilevamento del software antivirus, aumentando la probabilità di infezione di successo.
La fase finale dell’attacco prevede la distribuzione di diverse varianti di malware, tra cui:
- PureHvnc: Questo strumento garantisce che gli aggressori hanno nascosto l’accesso desktop remoto al sistema compromesso, consentendo loro di eseguire azioni non autorizzate a conoscenza dell’utente.
- Dcrat (darkcrystal rat): Uno strumento di accesso remoto multifunzionale utilizzato per lo spionaggio e l’esfiltrazione di dati. Questo ratto consente agli aggressori di rubare informazioni sensibili e monitorare l’attività dell’utente.
- Babylon Rat: Questo ratto fornisce agli aggressori un controllo completo sul dispositivo infetto, consentendo loro di eseguire comandi, accedere ai file ed eseguire altre attività dannose.
I ricercatori di Fortinet hanno osservato che gli aggressori utilizzano vari metodi per nascondere il loro codice dannoso. Questi includono l’offuscamento delle stringhe, la modifica delle impostazioni del registro per la persistenza e l’esecuzione del codice in memoria per ridurre al minimo l’impronta sul disco e sfuggire al rilevamento.
La campagna di phishing è attiva dall’inizio di agosto 2025 e mostra una portata globale. Alti volumi di attività sono stati osservati in Austria, Bielorussia, Canada, Egitto, India e Pakistan. I settori più colpiti da questa campagna includono produzione, tecnologia, sanità, costruzione e vendita al dettaglio/ospitalità. I dati suggeriscono la rapida proliferazione di questa minaccia, con rilevamenti che raddoppiano in un periodo di due settimane.
Questo attacco è progettato per la persistenza a lungo termine, fornendo una catena di malware che rimane nascosta all’interno dei sistemi aziendali. Fortinet consiglia: “Gli utenti e le organizzazioni dovrebbero prendere sul serio questa minaccia, utilizzare forti filtri e -mail e assicurarsi che il personale sia addestrato per riconoscere ed evitare questi tipi di attacchi”.
