Investigadores de seguridad cibernética identificó una campaña global de phishing que utilizan correos electrónicos personalizados y sitios web falsos para entregar descargas maliciosas. Según un nuevo aviso de Fortiguard Labs, la operación emplea un cargador personalizado llamado UpCrypter para instalar una gama de herramientas de acceso remoto (ratas), lo que brinda a los atacantes un control prolongado de los sistemas comprometidos. Cómo funciona el ataque La campaña comienza con correos electrónicos de phishing que transportan archivos adjuntos HTML que redirigen a las víctimas a sitios web falsificados. Estos sitios se adaptan a cada destinatario incrustando su dirección de correo electrónico e incluso obteniendo el logotipo de su empresa, aumentando la ilusión de legitimidad. Variantes de la campaña Usar temas tales como: un correo electrónico con tema de voz con tema de voz que afirma que el destinatario perdió una llamada, con un archivo adjunto HTML que redirige silenciosamente el navegador a un sitio de phishing, una parodia de compra escrita en chino, llevando un archivo adjunto HTML que construye una url maliciosa y dirige una víctima a una página de falsificación una vez que se redirige, los usuarios se están arqueando a un arqueo que contiene un arqueo de un arqueo que contiene un arqueo de la víctima de la víctima que contiene un arqueo que contiene un arqueo que contiene un arqueo de la víctima de la víctima que contiene un arqueo que contiene un arqueo que contiene un arqueo que está arqueado. Archivo JavaScript. Este script ejecuta comandos de PowerShell, evade herramientas de detección y recupera la próxima carga útil de los servidores controlados por el atacante. En algunos casos, los datos están ocultos dentro de los archivos de imagen utilizando esteganografía para evitar escaneos de seguridad. Lea más sobre las campañas de phishing: 752,000 ataques de phishing del navegador marcan el 140% aumentando el mejor suplente como un mejor mejor de entrega, un cargador mantenido por su desarrollador y exhibido en YouTube, juega un papel central en la campaña observada. Verifica herramientas forenses, máquinas virtuales y cajas de arena antes de ejecutar. Si se sospecha un análisis, el malware obliga a un sistema de reinicio a interrumpir las investigaciones. Una vez validado, descarga componentes adicionales, los ejecuta en la memoria y establece la persistencia al alterar las claves de registro. Las cargas útiles finales observadas incluyen PureHVNC, DCRAT y Babilon Rat. Estas herramientas permiten a los atacantes realizar acciones como Keylogging, robo de archivos y control remoto completo de la máquina de un objetivo. El creciente Reach Global Fortiguard Labs señaló que la campaña se está expandiendo rápidamente, con detecciones duplicando en solo dos semanas. Las industrias más afectadas incluyen fabricación, tecnología, atención médica, construcción y venta minorista/hospitalidad. Los investigadores enfatizaron que este no es un esquema de phishing sencillo para robar credenciales de correo electrónico, sino una cadena de ataque integral que instala malware sofisticado dentro de los entornos corporativos. «Los usuarios y organizaciones deben tomar esta amenaza en serio, usar filtros de correo electrónico fuertes y asegurarse de que el personal esté capacitado para reconocer y evitar este tipo de ataques», concluyó Fortinet.