Upcrypterマルウェアを活用する広範なフィッシングキャンペーンは、侵害されたシステムへの長期的なリモートアクセスを確立することを目標に、世界中のWindowsユーザーをターゲットにしています。 FortinetのFortiguard Labsのサイバーセキュリティ研究者は、2025年8月初旬からこれらの攻撃の急増を追跡しています。
攻撃ベクトルには、逃したボイスメールまたは発注書に変装したフィッシングメールが含まれます。これらの電子メールは、zipファイルをダウンロードするように促す偽のWebサイトを説得するように被害者をリダイレクトします。このzipアーカイブには、大量に難読化されたJavaScriptドロッパーが含まれています。
Fortinet Fortiguard Labsの研究者であるCara Linによると、これらの悪意のあるページは、受信者を誘い込んで一見無害なJavaScriptファイルをダウンロードするように設計されています。実行されると、JavaScriptはバックグラウンドでPowerShellコマンドをトリガーし、攻撃者が制御するサーバーとの接続を確立して、マルウェアの次の段階をダウンロードします。
その後、Upcrypterローダーは、サンドボックス環境またはフォレンジックツールの侵害されたシステムをスキャンします。検出された場合、アップクリプターは再起動を強制的に分析を混乱させます。そのような障害が存在しない場合、アップクリュプターはダウンロードしてさらにペイロードを実行し、ステガノグラフィを使用してこれらのファイルを隠してウイルス対策検出を回避することがあります。
攻撃の最終段階では、PureHVNC、DCRAT(DarkCrystal Rat)、Babylon Ratを含むリモートアクセスツール(ラット)の展開が含まれます。 PureHVNCは隠されたリモートデスクトップアクセスを可能にし、DCRATはスパイとデータの盗難に多機能ツールを提供します。バビロンラットにより、攻撃者は感染したデバイスを完全に制御できます。
Fortinetの研究者は、攻撃者が悪意のあるコードを隠すためにさまざまな技術を採用していることを観察しました。これらには、文字列の難読化、持続性のためのレジストリ設定の変更、およびディスクのトレースを最小限に抑えるメモリ内コード実行が含まれます。
フィッシングキャンペーンは、オーストリア、ベラルーシ、カナダ、エジプト、インド、パキスタンで重要な活動が検出され、国際的な範囲を実証しています。最も重くターゲットを絞ったセクターには、製造、テクノロジー、ヘルスケア、建設、小売/ホスピタリティが含まれます。 Upcrypterマルウェアの検出は、わずか2週間で2倍になり、このキャンペーンの急速な拡大を強調しています。
この攻撃は、単に資格情報を盗むことではありません。これは、攻撃者に永続的なアクセスを付与し、企業システム内に隠されたままになるように設計されたマルウェアのチェーンを展開することを目的としています。 Fortinetは、強力な電子メールフィルターを実装し、これらのタイプのフィッシング攻撃を認識して避けるためのスタッフトレーニングを提供することにより、ユーザーと組織にこの脅威を真剣に受け止めるようアドバイスします。
