Upcrypter-haittaohjelmia, jotka hyödyntävät UPCrypter-haittaohjelmia, on suunnattu Windows-käyttäjille maailmanlaajuisesti tavoitteena luoda pitkäaikainen etäkäyttö vaarantuneisiin järjestelmiin. Fortinetin Fortiguard Labsin kyberturvallisuustutkijat ovat seuranneet näiden hyökkäysten nousua elokuun alusta 2025 lähtien.
Hyökkäysvektori sisältää tietojenkalasteluviestit, jotka on naamioitu jättämättä äänestäjät tai ostotilaukset. Nämä sähköpostit ohjaavat uhrit vakuuttaviin väärennettyihin verkkosivustoihin, jotka kehottavat heitä lataamaan zip -tiedoston. Tämä ZIP -arkisto sisältää voimakkaasti hämärtyneen JavaScript -pudottajan.
Fortinet Fortiguard Labs -tutkijan Cara Linin mukaan nämä haitalliset sivut on suunniteltu houkuttelemaan vastaanottajia lataamaan näennäisesti vaarattomia javaScript -tiedostoja. Kun JavaScript laukaisee taustalla, JavaScript laukaisee PowerShell-komennot muodostaen yhteyden hyökkääjien ohjaamiin palvelimiin ladataksesi haittaohjelmien seuraavan vaiheen.
Upcrypter Loader skannaa sitten vaarantuneen järjestelmän hiekkalaatikkoympäristöihin tai oikeuslääketieteellisiin työkaluihin. Jos UpCrypter havaitaan, se pakottaa uudelleenkäynnistyksen analyysin häiritsemiseen. Jos tällaisia esteitä ei ole, Upcrypter -lataukset ja suorittaa lisäkorjauksia, joskus piilottamalla nämä tiedostot kuvissa steganografian avulla virustorjuntatunnistuksen välttämiseksi.
Hyökkäyksen viimeiseen vaiheeseen sisältyy etäkäyttötyökalujen (rotat) käyttöönotto, mukaan lukien Purehvnc, DCRAT (DarkCrystal Rat) ja Babylon -rotta. Purehvnc mahdollistaa piilotetun etätyöpöydän käytön, kun taas DCRAT tarjoaa monitoimilaitetyökalun vakoilu- ja tietovarkauksiin. Babylon -rotta antaa hyökkääjille mahdollisuuden saada täydellisen hallinnan tartunnan saaneen laitteen suhteen.
Fortinet -tutkijat ovat havainneet, että hyökkääjät käyttävät erilaisia tekniikoita haitallisen koodin piilottamiseen. Näitä ovat merkkijono hämärtäminen, pysyvyyden rekisteröintiasetusten muuttaminen ja muistin sisäinen koodin suorittaminen levyn jälkien minimoimiseksi.
Kalastuskampanja on osoittanut kansainvälisen ulottuvuuden, ja merkittävää aktiivisuutta havaitaan Itävallassa, Valkovenäjässä, Kanadassa, Egyptissä, Intiassa ja Pakistanissa. Suurimmin kohdennetuimpiin sektoreihin kuuluvat valmistus, tekniikka, terveydenhuolto, rakentaminen ja vähittäiskauppa/vieraanvaraisuus. Upcrypter -haittaohjelmien havaitseminen on kaksinkertaistunut vain kahdessa viikossa, mikä korostaa tämän kampanjan nopeaa laajentumista.
Tämä hyökkäys ei tarkoita vain valtakirjojen varastamista; Sen tavoitteena on ottaa käyttöön haittaohjelmaketju, joka on suunniteltu pysymään piilossa yritysjärjestelmissä pitkään, antaen hyökkääjille jatkuvan pääsyn. Fortinet kehottaa käyttäjiä ja organisaatioita ottamaan tämän uhan vakavasti toteuttamalla vahvat sähköpostisuodattimet ja tarjoamalla henkilöstön koulutusta tämän tyyppisten tietojenkalasteluhyökkäysten tunnistamiseksi ja välttämiseksi.
Source: Fortinet varoittaa Upcrypterin haittaohjelmien tietojenkalastelukampanjasta
