正在进行全球网络钓鱼攻击,通过包含Upcrypter恶意软件的欺骗性电子邮件针对Windows用户。该攻击由网络安全研究人员确定,旨在使黑客对全球受损系统的远程控制。
Fortinet的Fortiguard Labs一直在积极跟踪Upcrypter活动。 upcrypter用作装载机,旨在安装各种远程访问工具(老鼠)。这些工具使恶意参与者能够保持对受感染机器的持续访问,从而对数据安全和系统完整性构成重大威胁。
网络钓鱼电子邮件被设计成合法的通知,通常被伪装成错过的语音邮件或采购订单。与这些电子邮件中包含的附件互动的潜在受害者被重定向到欺诈性网站。这些网站旨在模仿受信任的平台,经常结合公司徽标,以提高信誉,并欺骗用户,以为他们正在与合法的实体互动。
根据Fortinet的说法,这些欺骗性的网页促使用户下载zip文件。该文件包含一个严重混淆的JavaScript滴管,该滴管启动了恶意软件感染过程。执行后,JavaScript滴管触发了PowerShell在后台命令。这些命令建立了与攻击者控制的服务器的连接,从而促进了恶意软件后续阶段的下载和执行。
Cara Lin,Fortinet Fortiguard Labs研究员, 陈述,“这些页面旨在吸引收件人下载充当upcrypter滴管的JavaScript文件。”这突出了攻击的欺骗性以及用户警惕性在识别和避免这种威胁方面的重要性。
执行后,Upcrypter执行系统扫描以识别沙盒环境或法医工具的存在。安全研究人员通常使用这些环境来分析恶意软件行为。如果检测到此类工具,则UPCrypter试图通过迫使系统重新启动并破坏调查过程来阻止分析。
如果未检测到监视工具,UpCrypter继续下载并执行其他恶意有效载荷。在某些情况下,攻击者使用隐肌,将这些有效载荷隐藏在看似无害的图像中。这种技术使他们能够绕过防病毒软件检测机制,从而增加了成功感染的可能性。
攻击的最后阶段涉及部署多种恶意软件变体,包括:
- purehvnc: 该工具授予攻击者隐藏的远程桌面访问折衷的系统,使他们能够在没有用户知识的情况下执行未经授权的操作。
- dcrat(darkCrystal Rat): 用于间谍和数据剥落的多功能远程访问工具。该大鼠允许攻击者窃取敏感信息并监视用户活动。
- 巴比伦鼠: 该大鼠为攻击者提供了对感染设备的完全控制,使他们可以执行命令,访问文件并执行其他恶意活动。
Fortinet研究人员观察到,攻击者利用各种方法掩盖其恶意代码。其中包括字符串混淆,对持久性的注册表设置的修改以及内存中的执行,以最大程度地减少磁盘上的足迹和逃避检测。
自2025年8月初以来,网络钓鱼运动一直很活跃,并展现了全球影响力。在奥地利,白俄罗斯,加拿大,埃及,印度和巴基斯坦已经观察到大量活动。受此活动影响最大的部门包括制造,技术,医疗保健,建筑和零售/酒店。数据表明,这种威胁的快速扩散,检测在为期两周的时间内增加了一倍。
此攻击是为了长期持久而设计的,它提供了一系列恶意软件,这些恶意软件仍然隐藏在公司系统中。 Fortinet建议:“用户和组织应认真对待这种威胁,使用强大的电子邮件过滤器,并确保员工接受培训以识别和避免这种类型的攻击。”
