Upcrypter 맬웨어를 활용하는 광범위한 피싱 캠페인은 손상된 시스템에 대한 장기 원격 액세스를 설정하기 위해 전 세계 Windows 사용자를 대상으로합니다. Fortinet의 Fortiguard Labs의 사이버 보안 연구원들은 2025 년 8 월 초부터 이러한 공격의 급증을 추적하고 있습니다.
공격 벡터는 누락 된 음성 메일 또는 구매 주문으로 위장한 피싱 이메일을 포함합니다. 이 이메일은 피해자를 리디렉션하여 ZIP 파일을 다운로드하라는 가짜 웹 사이트를 설득합니다. 이 Zip 아카이브에는 심하게 난독 화 된 JavaScript Dropper가 포함되어 있습니다.
Fortinet Fortiguard Labs 연구원 인 Cara Lin에 따르면,이 악성 페이지는 수신자가 무해한 JavaScript 파일을 다운로드하도록 유혹하도록 설계되었습니다. 일단 실행되면 JavaScript는 백그라운드에서 PowerShell 명령을 트리거하여 공격자 제어 서버와 연결하여 맬웨어의 다음 단계를 다운로드합니다.
그런 다음 Upcrypter 로더는 샌드 박스 환경 또는 법의학 도구를위한 손상된 시스템을 스캔합니다. 감지되면 Upcrypter는 재부팅이 분석을 방해하도록 강요합니다. 그러한 장애물이 없으면, 업 크라이터를 다운로드하고 추가 페이로드를 실행하며, 때로는 스테 가노 그래피를 사용하여 이미지 내에서 이러한 파일을 숨겨 항 바이러스 탐지를 피합니다.
공격의 마지막 단계는 PureHVNC, DCrat (DarkCrystal Rat) 및 Babylon Rat를 포함한 원격 액세스 도구 (RAT)를 배치하는 것입니다. PureHVNC는 숨겨진 원격 데스크톱 액세스를 허용하는 반면 DCRAT는 스파이 및 데이터 도난을위한 다기능 도구를 제공합니다. 바빌론 쥐를 통해 공격자는 감염된 장치를 완전히 제어 할 수 있습니다.
Fortinet 연구원들은 공격자들이 악의적 인 코드를 감추기 위해 다양한 기술을 사용한다는 것을 관찰했습니다. 여기에는 문자열 난독 화, 지속성을위한 레지스트리 설정 수정 및 디스크의 트레이스를 최소화하기위한 메모리 내 코드 실행이 포함됩니다.
피싱 캠페인은 오스트리아, 벨로루시, 캐나다, 이집트, 인도 및 파키스탄에서 상당한 활동이 감지 된 국제적 범위를 보여주었습니다. 가장 큰 목표로하는 부문에는 제조, 기술, 의료, 건설 및 소매/환대가 포함됩니다. Upcrypter 맬웨어의 탐지는 단 2 주 만에 두 배가 되어이 캠페인의 빠른 확장을 강조했습니다.
이 공격은 단순히 자격 증명을 훔치는 것이 아닙니다. 회사 시스템 내에 오랜 기간 동안 숨겨져 있도록 설계된 맬웨어 체인을 배치하여 공격자에게 지속적인 액세스를 부여하는 것을 목표로합니다. Fortinet은 사용자와 조직이 강력한 이메일 필터를 구현하고 이러한 유형의 피싱 공격을 인식하고 피할 수있는 직원 교육을 제공함으로써 이러한 위협을 진지하게 받아들이도록 조언합니다.
