Cybersecurity -onderzoekers hebben een nieuwe phishing -campagne gemarkeerd die nep -voicemails en inkooporders gebruikt om een malware -lader te leveren met de naam Omhoogcrypter.
De campagne maakt gebruik van “zorgvuldig vervaardigde e -mails om kwaadaardige URL’s te leveren die verband houden met het overtuigen van phishing -pagina’s”, zei Fortinet Fortiguard Labs -onderzoeker Cara Lin. “Deze pagina’s zijn ontworpen om ontvangers te lokken om JavaScript -bestanden te downloaden die fungeren als druppers voor UPCRYPTER.”
Aanvallen die de malware voortplanten, zijn sinds begin augustus 2025 voornamelijk gericht op productie-, technologie-, gezondheidszorg-, bouw- en retail/horeca -sectoren over de hele wereld. De overgrote meerderheid van de infecties zijn waargenomen in Oostenrijk, Wit -Rusland, Canada, India en Pakistan, onder andere.
UPCRYPTER functioneert als een leiding voor verschillende externe toegangsinstrumenten (ratten), zoals PureHVNC Rat, Dcrat (aka Darkcrystal Rat) en Babylon Rat, die elk een aanvaller in staat stellen volledige controle te nemen over gecompromitteerde gastheren.
Het startpunt van de infectieketen is een phishing -e -mail met behulp van thema’s gerelateerd aan voicemailberichten en aankopen om ontvangers te misleiden om op links te klikken die naar nep -bestemmingspagina’s gaan, vanwaar ze worden gevraagd om het spraakbericht of een PDF -document te downloaden.
“De kunstpagina is ontworpen om overtuigend te lijken door niet alleen de domeinreeks van het slachtoffer in zijn banner weer te geven, maar ook het logo van het domein binnen de pagina -inhoud op te halen en in te sluiten om de authenticiteit te versterken,” zei Fortinet. “Het primaire doel is om een kwaadaardige download te leveren.”
De gedownloade payload is een zip-archief met een verduisterd JavaScript-bestand, dat vervolgens contact opneemt met een externe server om de volgende fase malware op te halen, maar pas na het bevestigen van internetconnectiviteit en scanning-loopprocessen voor forensische tools, debuggers of sandbox-omgevingen.
De lader neemt op zijn beurt contact op met dezelfde server om de uiteindelijke lading te verkrijgen, hetzij in de vorm van gewone tekst of ingebed in een onschadelijk ogend beeld, een techniek genaamd Steganografie.
Fortinet zei dat UPCRYPTER ook wordt gedistribueerd als een MSIL-lader (Microsoft Intermediate Language) die, net als zijn JavaScript-tegenhanger, anti-analyse en anti-virtuele machinecontroles uitvoert, waarna het drie verschillende payloads downloadt: een verduisterd PowerShell-script, een DLL en de belangrijkste payload.
De aanval culmineert met het script dat gegevens van de DLL -lader en de payload tijdens de uitvoering inbedden, waardoor de malware kan worden uitgevoerd zonder deze naar het bestandssysteem te schrijven. Deze aanpak heeft ook het voordeel van het minimaliseren van forensische sporen, waardoor de malware onder de radar kan vliegen.
“Deze combinatie van een actief onderhouden lader, gelaagde obfuscatie en diverse rattenafgifte toont een aanpasbaar ecosysteem voor bedreigingen die in staat is verdedigingen te omzeilen en persistentie in verschillende omgevingen te handhaven,” zei Lin.
De openbaarmaking komt als controlepunt, een grootschalige phishing-campagne gedetailleerd die Google Classroom misbruikt om meer dan 115.000 phishing-e-mails te distribueren gericht op 13.500 organisaties in meerdere industrieën tussen 6 en 12 augustus 2025. De aanvallen richten zich op organisaties in Europa, Noord-Amerika, het Midden-Oosten en Azië.
“Aanvallers exploiteerden dit vertrouwen door nepuitnodigingen te verzenden die niet -gerelateerde commerciële aanbiedingen bevatten, variërend van productverkooppitches tot SEO -diensten,” zei het bedrijf. “Elke e -mail heeft ontvangen ontvangers om contact op te nemen met oplichters via een WhatsApp -telefoonnummer, een tactiek die vaak is gekoppeld aan fraudeschema’s.”
De aanval omzeilt beveiligingssystemen omdat het gebruik maakt van het vertrouwen en de reputatie van de infrastructuur van Google Classroom om belangrijke e -mailverificatieprotocollen te omzeilen, zoals SPF, DKIM en DMARC, en helpt de phishing -e -mails in de inboxen van gebruikers te landen.
These campaigns are part of a larger trend where threat actors take advantage of legitimate services like Microsoft 365 Direct Send and OneNote, not to mention abuse free artificial intelligence (AI)-powered website builder like Vercel and Flazio, as well as services such as Discord CDN, SendGrid, Zoom, ClickFunnels, Jotform, and X’s t(.)co link shortener – an approach known as living-off-trusted-sites (Veel).
“Nadat de dreigingsacteur M365 -referenties van één gebruiker in een organisatie had verkregen via een phishing -aanval, creëerden ze een OneNote -bestand in de persoonlijke documenten van de gecompromitteerde gebruiker op OneDrive, waarbij de Lure URL werd ingesloten voor de volgende phishing -fase,” zei Varonis in een rapport dat vorige maand werd gepubliceerd.
Het misbruik van Direct Send heeft Microsoft ertoe aangezet om een optie te introduceren voor organisaties genaamd “Direct Send afwijzen” om het probleem rechtstreeks aan te pakken. Als alternatief kunnen klanten ook aangepast headerstempels en quarantainebeleid toepassen om e -mails te detecteren die beweren interne communicatie te zijn, maar dat in werkelijkheid niet zijn.
Deze ontwikkelingen zijn ook gepaard met aanvallers die steeds meer afhankelijk zijn van de ontduikingstechnieken aan de klantzijde in phishingpagina’s om zowel geautomatiseerde detectiesystemen als menselijke analisten voor te blijven. Dit omvat het gebruik van JavaScript-gebaseerde blokkering, browser-in-the-browser (BITB) -sjablonen en het hosten van de pagina’s in virtuele desktopomgevingen met behulp van NOVNC.
“Een opmerkelijke methode die in populariteit groeit, is het gebruik van op JavaScript gebaseerde anti-analysescripts; kleine maar effectieve stukjes code ingebed in phishing-pagina’s, nep-technische ondersteuningssites en kwaadaardige omleidingen,” zei Doppel. “Zodra een dergelijke activiteit is geïdentificeerd, wordt de site onmiddellijk doorgeleid naar een lege pagina of schakelt u verdere interactie uit, het blokkeren van toegang voordat diepere inspectie kan optreden.”
