27/08/25
Злоумышленники используют тщательно подготовленные электронные письма с вредоносными ссылками, ведущими на поддельные сайты, маскирующиеся под страницы компаний. На таких ресурсах пользователям предлагают скачать якобы важный файл — голосовое сообщение или документ в формате PDF, — который на самом деле содержит вредоносный код, пишет Securitylab.
Основная цель атаки — установка загрузчика UpCrypter, который служит проводником для удалённых инструментов управления, включая PureHVNC RAT, DCRat (DarkCrystal RAT) и Babylon RAT. После заражения системы атакующие получают возможность полностью контролировать устройство жертвы.
Сценарий атаки начинается с письма, которое побуждает перейти по ссылке на поддельную страницу. Чтобы повысить доверие, сайт автоматически вставляет в заголовок домен жертвы и подгружает логотип её организации, создавая иллюзию подлинности. Затем с ресурса скачивается ZIP-архив, содержащий зашифрованный JavaScript-файл.
После запуска скрипт проверяет наличие интернет-соединения, а также анализирует процессы на устройстве, выявляя инструменты отладки, песочницы и средства цифровой криминалистики. Лишь после этого происходит обращение к внешнему серверу за следующим этапом вредоносного ПО.
Загрузчик может получать финальный модуль либо в виде открытого текста, либо скрытым внутри изображения с использованием стеганографии . Помимо JavaScript-варианта, специалисты обнаружили и другую сборку UpCrypter, написанную на MSIL. Она действует аналогично, но после проверки окружения дополнительно загружает три отдельных элемента: зашифрованный PowerShell-скрипт, DLL-библиотеку и основной исполняемый модуль. Все они объединяются во время выполнения, что позволяет запускать вредоносный код без записи его на диск и минимизировать следы на устройстве.
Fortinet отмечает, что подобная архитектура делает кампанию особенно сложной для обнаружения. Использование активной поддержки загрузчика, многоуровневой маскировки и нескольких инструментов удалённого доступа создаёт гибкую экосистему доставки, способную обходить средства защиты и сохранять устойчивость в различных средах.
