Une attaque globale de phishing est en cours, ciblant les utilisateurs de Windows via des e-mails trompeurs contenant des logiciels malveillants en haut. L’attaque, identifiée par les chercheurs en cybersécurité, vise à donner aux pirates la télécommande sur les systèmes compromis dans le monde.
Fortinet’s Fortiguard Labs a suivi activement l’activité en haut. Upcrypter fonctionne comme un chargeur, conçu pour installer divers outils d’accès à distance (rats). Ces outils permettent aux acteurs malveillants de maintenir un accès persistant aux machines infectées, constituant une menace significative pour la sécurité des données et l’intégrité du système.
Les e-mails de phishing sont conçus pour apparaître comme des notifications légitimes, souvent déguisées comme des messages vocaux manqués ou des bons de commande. Les victimes potentielles qui interagissent avec les pièces jointes incluses dans ces e-mails sont redirigées vers des sites Web frauduleux. Ces sites Web sont conçus pour imiter les plateformes de confiance, incorporant fréquemment des logos d’entreprises pour améliorer la crédibilité et tromper les utilisateurs pour croire qu’ils interagissent avec une entité légitime.
Selon Fortinet, ces pages Web trompeuses incitent les utilisateurs à télécharger un fichier zip. Ce fichier contient un compte-gouttes JavaScript fortement obscurci, qui initie le processus d’infection des logiciels malveillants. Lors de l’exécution, le compte-gouttes JavaScript déclenche des commandes PowerShell en arrière-plan. Ces commandes établissent des connexions aux serveurs contrôlés par l’attaquant, facilitant le téléchargement et l’exécution des étapes suivantes du malware.
Cara Lin, chercheur Fortinet Fortiguard Labs, déclaré«Ces pages sont conçues pour inciter les destinataires à télécharger des fichiers JavaScript qui agissent comme des gouttes pour un metcrypteur.» Cela met en évidence la nature trompeuse de l’attaque et l’importance de la vigilance des utilisateurs pour identifier et éviter de telles menaces.
Une fois exécuté, UPCrypter effectue une analyse système pour identifier la présence d’environnements de bac à sable ou d’outils médico-légaux. Ces environnements sont souvent utilisés par les chercheurs en sécurité pour analyser le comportement des logiciels malveillants. Si de tels outils sont détectés, le lavage tente de contrecarrer l’analyse en forçant un redémarrage du système, perturbant le processus d’investigation.
Si aucun outil de surveillance n’est détecté, Upcrypter procède au téléchargement et à l’exécution de charges utiles malveillantes. Dans certains cas, les attaquants emploient de la stéganographie, dissimulant ces charges utiles dans des images apparemment inoffensives. Cette technique leur permet de contourner les mécanismes de détection des logiciels antivirus, augmentant la probabilité d’une infection réussie.
La dernière étape de l’attaque implique le déploiement de plusieurs variantes de logiciels malveillants, notamment:
- Purhvnc: Cet outil accorde aux attaquants des attaquants cachés un accès de bureau à distance au système compromis, leur permettant d’effectuer des actions non autorisées à l’insu de l’utilisateur.
- DCRAT (rat DarkCrystal): Un outil d’accès à distance multifonctionnel utilisé pour l’espionnage et l’exfiltration des données. Ce rat permet aux attaquants de voler des informations sensibles et de surveiller l’activité des utilisateurs.
- Babylon Rat: Ce rat fournit aux attaquants un contrôle complet sur l’appareil infecté, leur permettant d’exécuter des commandes, d’accès aux fichiers et d’effectuer d’autres activités malveillantes.
Les chercheurs de Fortinet ont observé que les attaquants utilisent diverses méthodes pour cacher leur code malveillant. Il s’agit notamment de l’obscurcissement des chaînes, de la modification des paramètres de registre pour la persistance et de l’exécution du code en mémoire pour minimiser l’empreinte sur le disque et éluder la détection.
La campagne de phishing est active depuis début août 2025 et présente une portée mondiale. Des volumes élevés d’activité ont été observés en Autriche, au Bélarus, au Canada, en Égypte, en Inde et au Pakistan. Les secteurs les plus touchés par cette campagne comprennent la fabrication, la technologie, les soins de santé, la construction et le commerce de détail / l’hospitalité. Les données suggèrent la prolifération rapide de cette menace, avec des détections doublant dans une période de deux semaines.
Cette attaque est conçue pour une persistance à long terme, offrant une chaîne de logiciels malveillants qui reste cachée dans les systèmes d’entreprise. Fortinet conseille: «Les utilisateurs et les organisations devraient prendre cette menace au sérieux, utiliser des filtres de courrier électronique solides et s’assurer que le personnel est formé pour reconnaître et éviter ces types d’attaques.»
