Ein globaler Phishing -Angriff ist im Gange und zielt auf Windows -Benutzer durch irreführende E -Mails mit aufstrebender Malware ab. Der Angriff, der von Cybersicherheitsforschern identifiziert wurde, zielt darauf ab, Hackern eine Fernsteuerung über gefährdete Systeme weltweit zu geben.
Fortinets Fortiguard Labs hat die aufeinanderfolgende Aktivität aktiv verfolgt. Upper fungiert als Lader, mit dem verschiedene Remote -Zugriffstools (Ratten) installiert wurden. Diese Tools ermöglichen böswillige Akteure den anhaltenden Zugriff auf infizierte Maschinen und stellen eine erhebliche Bedrohung für die Datensicherheit und die Systemintegrität dar.
Die Phishing -E -Mails werden so gestaltet, dass sie als legitime Benachrichtigungen erscheinen, die oft als verpasste Voicemails oder Bestellungen getarnt sind. Potenzielle Opfer, die mit den in diesen E -Mails enthaltenen Anhängen interagieren, werden auf betrügerische Websites weitergeleitet. Diese Websites sind so konzipiert, dass sie vertrauenswürdige Plattformen imitieren und häufig Unternehmenslogos einbeziehen, um die Glaubwürdigkeit zu verbessern und Benutzer zu der Annahme zu der Annahme, dass sie mit einer legitimen Einheit interagieren.
Laut Fortinet fordern diese irreführenden Webseiten die Benutzer zum Herunterladen einer ZIP -Datei auf. Diese Datei enthält einen stark verschleierten JavaScript -Tropfen, der den Malware -Infektionsprozess initiiert. Bei der Ausführung löst der JavaScript -Tropfen PowerShell -Befehle im Hintergrund aus. Diese Befehle stellen Verbindungen zu Angreifer kontrollierten Servern her, wodurch der Download und die Ausführung der nachfolgenden Stadien der Malware erleichtert wird.
Cara Lin, ein Forscher von Fortinet Fortiguard Labs, Forscher, angegeben„Diese Seiten sind so konzipiert, dass sie Empfänger dazu veranlassen, JavaScript -Dateien herunterzuladen, die als Tropfen für die Aufregung fungieren.“ Dies unterstreicht die irreführende Natur des Angriffs und die Bedeutung der Wachsamkeit der Benutzer bei der Identifizierung und Vermeidung solcher Bedrohungen.
Nach der Ausführung führt Upcrypter einen Systemscan durch, um das Vorhandensein von Sandboxumgebungen oder forensischen Tools zu identifizieren. Diese Umgebungen werden häufig von Sicherheitsforschern verwendet, um das Malwareverhalten zu analysieren. Wenn solche Tools erkannt werden, versucht Upcrypter, die Analyse zu vereiteln, indem ein System -Neustart gezwungen wird, wodurch der Untersuchungsprozess gestört wird.
Wenn keine Überwachungstools erkannt werden, fährt der Upcrypter fort, um zusätzliche böswillige Nutzlasten herunterzuladen und auszuführen. In einigen Fällen beschäftigen die Angreifer die Steganographie und verbergen diese Nutzlasten in scheinbar harmlosen Bildern. Diese Technik ermöglicht es ihnen, Antiviren -Software -Erkennungsmechanismen zu umgehen und die Wahrscheinlichkeit einer erfolgreichen Infektion zu erhöhen.
Die letzte Phase des Angriffs beinhaltet die Bereitstellung mehrerer Malware -Varianten, darunter:
- PureHvnc: Dieses Tool gewährt Angreifer, die den Remote -Desktop -Zugriff auf das kompromittierte System versteckt haben, und ermöglicht es ihnen, nicht autorisierte Aktionen ohne Wissen des Benutzers auszuführen.
- DCRAT (Darkcrystal -Ratte): Ein multifunktionales Remote-Zugriffstool, das für Spionage und Datenexfiltration verwendet wird. Mit dieser Ratte können Angreifer sensible Informationen stehlen und die Benutzeraktivität überwachen.
- Babylon Ratte: Diese Ratte bietet Angreifern die vollständige Kontrolle über das infizierte Gerät und ermöglicht es ihnen, Befehle auszuführen, auf Dateien zuzugreifen und andere böswillige Aktivitäten auszuführen.
Fortinet -Forscher haben festgestellt, dass die Angreifer verschiedene Methoden anwenden, um ihren böswilligen Code zu verbergen. Dazu gehören die Verschleierung der String, Änderung der Registrierungseinstellungen für die Persistenz sowie die Ausführung von In-Memory-Code, um den Fußabdruck auf der Festplatte zu minimieren und zu entziehen.
Die Phishing -Kampagne ist seit Anfang August 2025 aktiv und zeigt eine globale Reichweite. In Österreich, Weißrussland, Kanada, Ägypten, Indien und Pakistan wurden hohe Aktivitäten beobachtet. Zu den von dieser Kampagne am stärksten betroffenen Sektoren gehören Herstellung, Technologie, Gesundheitswesen, Bauwesen und Einzelhandel/Gastfreundschaft. Daten deuten auf die schnelle Verbreitung dieser Bedrohung hin, wobei die Erkennungen innerhalb eines Zeitraums von zwei Wochen verdoppelt werden.
Dieser Angriff ist für eine langfristige Ausdauer ausgelegt und liefert eine Malwarekette, die in Unternehmenssystemen verborgen bleibt. Fortinet rät: „Benutzer und Organisationen sollten diese Bedrohung ernst nehmen, starke E -Mail -Filter verwenden und sicherstellen, dass die Mitarbeiter geschult sind, um diese Art von Angriffen zu erkennen und zu vermeiden.“
