Uma campanha de phishing generalizada alavancando o malware upcrypter está direcionando os usuários do Windows em todo o mundo, com o objetivo de estabelecer acesso remoto a longo prazo a sistemas comprometidos. Pesquisadores de segurança cibernética do Fortinet’s FortiGuard Labs acompanham o aumento nesses ataques desde o início de agosto de 2025.
O vetor de ataque envolve e -mails de phishing disfarçados de correios de voz perdidos ou pedidos de compra. Esses e -mails redirecionam as vítimas a convencer sites falsos que os levam a baixar um arquivo zip. Este arquivo zip contém um gotas de Javascript fortemente ofuscado.
De acordo com Cara Lin, pesquisador da Fortinet FortiGuard Labs, essas páginas maliciosas são projetadas para atrair os destinatários a baixar arquivos JavaScript aparentemente inofensivos. Depois de executado, o JavaScript aciona os comandos do PowerShell em segundo plano, estabelecendo uma conexão com servidores controlados por atacantes para baixar o próximo estágio do malware.
O carregador upcrypter digitaliza o sistema comprometido em busca de ambientes de caixa de areia ou ferramentas forenses. Se detectado, o upcrypter forçará uma reinicialização a interromper a análise. Se não houver desses obstáculos, o UpCrypter Downloads e executará mais cargas úteis, às vezes escondendo esses arquivos dentro das imagens usando a Steganografia para evitar a detecção de antivírus.
A etapa final do ataque envolve a implantação de ferramentas de acesso remoto (ratos), incluindo PureHVNC, DCRAT (Rato Darkcrystal) e rato Babylon. O PureHVNC permite o acesso à área de trabalho remota oculta, enquanto o DCRAT fornece uma ferramenta multifuncional para espionagem e roubo de dados. O rato Babylon permite que os invasores obtenham controle total sobre o dispositivo infectado.
Os pesquisadores da Fortinet observaram que os atacantes empregam várias técnicas para ocultar seu código malicioso. Isso inclui ofuscação de string, modificação das configurações do registro para persistência e execução de código na memória para minimizar traços no disco.
A campanha de phishing demonstrou alcance internacional, com atividades significativas detectadas na Áustria, Bielorrússia, Canadá, Egito, Índia e Paquistão. Os setores mais direcionados incluem fabricação, tecnologia, saúde, construção e varejo/hospitalidade. As detecções dos malware de upcrypter dobraram em apenas duas semanas, destacando a rápida expansão desta campanha.
Este ataque não se trata apenas de roubar credenciais; O objetivo é implantar uma cadeia de malware projetada para permanecer oculta nos sistemas corporativos por um período prolongado, concedendo aos invasores acesso persistente. A Fortinet aconselha usuários e organizações a levar essa ameaça a sério, implementando fortes filtros de email e fornecendo treinamento da equipe para reconhecer e evitar esses tipos de ataques de phishing.
Source: Fortinet alerta da campanha de phishing de malware de upcrypter
