Prikaži glavni meni

Lažni imejlovi instaliraju malver UpCrypter na Windows računarima

Opisi virusa, 28.08.2025, 13:00 PM

FortiGuard Labs, istraživački tim kompanije Fortinet, otkrio je novu globalnu kampanju koja preko phishing mejlova širi malver UpCrypter. Ovaj malver omogućava hakerima potpunu kontrolu nad zaraženim Windows sistemima.

Prema telemetriji FortiGuard Labs-a, broj detekcija ovog napada udvostručio se u samo dve nedelje. Kampanja pogađa različite sektore širom sveta, uključujući proizvodnju, tehnologiju, zdravstvo, građevinarstvo, maloprodaju i ugostiteljstvo.

Ovo nije tipičan pokušaj krađe podataka za prijavu, već napad koji može instalirati malver unutar mreže kompanije, omogućavajući napadačima dugotajnu kontrolu nad sistemima.

Napad počinje phishing imejlom, sa temom poput „Propušteni telefonski poziv“ ili „Narudžbenica“. U prilogu se nalazi maliciozni HTML fajl (npr. VN0001210000200.html ili 採購訂單.html).

Kada korisnik otvori fajl, preusmerava se na lažni, ali veoma ubedljivi veb sajt, koji čak prikazuje i domen i logo kompanije žrtve kako bi izgledao legitimno. Stranica traži od korisnika da klikne na “Download” dugme, čime se preuzima JavaScript fajl. Ovaj JS fajl je zapravo dropper koji neprimetno preuzima i instalira UpCrypter.

UpCrypter je malver koji razvija neko ko je poznat kao Pjoao1578. Njegova uloga je da služi kao „most“ za instalaciju opasnijih alata, pre svega Remote Access Tool (RAT) softvera, koji napadačima daje potpunu kontrolu nad kompromitovanim računarom.

Istraživači su identifikovali nekoliko malvera koji se isporučuju na ovaj način: DCRat, PureHVNC i Babylon RAT.

UpCrypter koristi složene metode za izbegavanje detekcije - proverava da li se pokreće u sandbox okruženju i prisustvo alata poput Wireshark i ANY.RUN. Ako otkrije bilo šta sumnjivo, može da zaustavi svoje aktivnosti ili čak da izazove ponovno pokretanje sistema. Pored toga, maliciozni kod može biti sakriven unutar JPG slike, što dodatno otežava identifikaciju.

FortiGuard Labs upozorava da je reč o veoma opasnom malveru i savetuje korišćenje naprednih imejl filtera za blokiranje sumnjivih priloga. Kompanije treba da edukuju zaposlene da prepoznaju lažne imejlove i ne otvaraju nepoznate HTML fajlove. FortiGuard preporučuje i ograničavanje korišćenja PowerShell-a na računarima gde nije nužan, ali i praćenje aktivnosti sistema u realnom vremenu i upotrebu alata koji mogu otkriti sumnjivo ponašanje skripti i procesa.