网络安全研究人员发现针对Windows设备的钓鱼邮件数量激增。据Fortinet旗下FortiGuard实验室监测,黑客正在利用UpCrypter加载器展开攻击活动,该工具可安装多种远程访问工具(RAT),使攻击者能长期维持对受感染机器的控制。
这些钓鱼邮件伪装成未接语音邮件或采购订单。点击附件的受害者将被重定向至精心设计的虚假网站,这些网站通常使用企业标识增强可信度。Fortinet表示,这些钓鱼页面会诱导用户下载包含高度伪装JavaScript投放器的ZIP压缩包。一旦打开,脚本将在后台触发PowerShell命令,连接攻击者控制的服务器进行下一阶段攻击。
FortiGuard实验室研究员Cara Lin指出:”这些页面专门诱骗收件人下载作为UpCrypter投放器的JavaScript文件,构成精密攻击链的初始环节。”
UpCrypter攻击链深度解析:反检测机制与三重远程控制工具协同作案
安全研究人员揭示了UpCrypter在攻击链中的精密运作机制。一旦执行,该加载器会立即扫描系统环境,检测是否处于沙箱分析或取证调查中。若发现监控迹象,将立即触发重启中断调查。
当确认环境安全后,恶意软件开始下载并执行后续载荷。攻击者采用隐写术将文件隐藏于普通图片中,有效规避杀毒软件检测。最终部署的恶意工具包括:
-
PureHVNC:实现隐藏式远程桌面访问;
-
DCRat(DarkCrystal RAT):具备间谍功能和数据窃取能力的多用途工具;
-
Babylon RAT:支持攻击者对设备进行全面控制。
全球攻击态势与行业影响
Fortinet研究人员指出,攻击者采用多重技术伪装恶意代码:包括字符串混淆、通过注册表修改实现持久化、以及内存运行代码避免磁盘留痕等手法,形成高度隐匿的攻击体系。
此次网络钓鱼活动自2025年8月初持续活跃,已呈现国际化传播趋势。监测数据显示奥地利、加拿大、埃及等地攻击活动最为密集。
受冲击最严重的行业包括:制造业、科技行业、医疗机构、建筑行业、零售与酒店业,Fortinet研究人员指出,短短两周内检测到的攻击数量实现翻倍增长,印证了该攻击行动的快速扩张态势。此次攻击不仅窃取用户名和密码,更通过多阶段恶意软件链实现在企业系统中长期隐蔽驻留。
正如Fortinet所强调:”用户和组织应高度重视此威胁,采用强化邮件过滤器,并确保员工接受过识别和规避此类攻击的培训。”
发表评论
您还未登录,请先登录。
登录