FortiGuard Labs otkrio globalnu kampanju sa opasnim UpCrypter malverom

Istraživački tim FortiGuard Labs, dio kompanije Fortinet, otkrio je veliku fišing kampanju koja širi UpCrypter malver – prijetnju koja hakerima omogućava potpunu daljinsku kontrolu nad kompromitovanim Windows računarima.

 

Brzo širenje napada širom svijeta

 

Prema prikupljenim podacima, broj otkrivenih slučajeva udvostručio se u samo dvije sedmice. Kampanja nije ograničena na jednu oblast, već pogađa više industrija, uključujući proizvodnju, tehnologiju, zdravstvo, građevinu, maloprodaju i ugostiteljstvo.

Za razliku od klasičnih pokušaja krađe lozinki, ovaj napad omogućava napadačima dugoročan pristup i kontrolu nad mrežom žrtve.

 

Kako funkcioniše napad

 

Sve počinje fišing mejlom sa naslovima poput „Propušten poziv“ ili „Narudžbenica“. U prilogu se nalazi zaraženi HTML fajl (npr. VN0001210000200.html ili 採購訂單.html).

Kada žrtva otvori fajl, preusmjerava se na lažnu stranicu koja koristi naziv i logo njene kompanije, čineći je veoma uvjerljivom. Stranica nudi opciju Preuzimanja, a klik na dugme pokreće skriveni JavaScript dropper koji tiho instalira UpCrypter.

 

Uloga UpCrypter malvera

 

UpCrypter, čiji je autor haker poznat kao Pjoao1578, služi kao most za instalaciju još opasnijih alata – prije svega Remote Access Tool (RAT) softvera. Identifikovani malveri distribuirani ovim putem uključuju DCRat, PureHVNC i Babylon RAT, koji napadačima omogućavaju potpunu kontrolu kompromitovanih sistema.

UpCrypter koristi napredne metode za izbjegavanje detekcije: provjerava da li se izvršava u sandbox okruženju, traži alate poput Wireshark i ANY.RUN, a u slučaju sumnjivog okruženja može obustaviti rad ili čak izazvati restart sistema. Maliciozni kod može biti sakriven i unutar JPG slika, što dodatno otežava otkrivanje.

 

Preporuke za zaštitu

 

FortiGuard Labs upozorava kompanije da se radi o vrlo ozbiljnoj prijetnji i savjetuje:

• korištenje naprednih filtera za blokiranje sumnjivih HTML priloga,
• edukaciju zaposlenih o prepoznavanju fišing poruka,
• ograničavanje korištenja PowerShell-a gdje nije nužno,
• praćenje aktivnosti sistema u realnom vremenu i detekciju sumnjivog ponašanja skripti i procesa.

Stručnjaci naglašavaju da kombinacija proaktivne zaštite i svijesti zaposlenih predstavlja najefikasniji štit protiv kampanja poput ove sa UpCrypter malverom.