Se está realizando un ataque global de phishing, dirigido a los usuarios de Windows a través de correos electrónicos engañosos que contienen malware Upcrypter. El ataque, identificado por los investigadores de ciberseguridad, tiene como objetivo brindar a los piratas informáticos control remoto sobre sistemas comprometidos en todo el mundo.
Fortinet’s Fortiguard Labs ha estado rastreando activamente la actividad de Upcrypter. UPCRYPTER funciona como un cargador, diseñado para instalar varias herramientas de acceso remoto (ratas). Estas herramientas permiten a los actores maliciosos mantener un acceso persistente a las máquinas infectadas, lo que representa una amenaza significativa para la seguridad de los datos y la integridad del sistema.
Los correos electrónicos de phishing están diseñados para aparecer como notificaciones legítimas, a menudo disfrazadas como correo de voz perdidos o órdenes de compra. Las posibles víctimas que interactúan con los archivos adjuntos incluidos en estos correos electrónicos se redirigen a sitios web fraudulentos. Estos sitios web están diseñados para imitar plataformas de confianza, incorporando frecuentemente logotipos de la empresa para mejorar la credibilidad y engañar a los usuarios para que crean que están interactuando con una entidad legítima.
Según Fortinet, estas páginas web engañosas solicitan a los usuarios a descargar un archivo zip. Este archivo contiene un gotero JavaScript muy ofuscado, que inicia el proceso de infección por malware. Tras la ejecución, el gotero de JavaScript desencadena los comandos de PowerShell en segundo plano. Estos comandos establecen conexiones con servidores controlados por los atacantes, facilitando la descarga y ejecución de etapas posteriores del malware.
Cara Lin, una investigadora de Fortinet Fortiguard Labs, fijado«Estas páginas están diseñadas para atraer a los destinatarios a descargar archivos JavaScript que actúan como goteros para UpcryPter». Esto resalta la naturaleza engañosa del ataque y la importancia de la vigilancia del usuario para identificar y evitar tales amenazas.
Una vez ejecutado, UpCryPter realiza una exploración del sistema para identificar la presencia de entornos de sandbox o herramientas forenses. Los investigadores de seguridad a menudo utilizan estos entornos para analizar el comportamiento de malware. Si se detectan tales herramientas, UpcryPter intenta frustrar el análisis forzando un reinicio del sistema, interrumpiendo el proceso de investigación.
Si no se detectan herramientas de monitoreo, UPCryPter procede a descargar y ejecutar cargas útiles maliciosas adicionales. En algunos casos, los atacantes emplean esteganografía, ocultando estas cargas útiles dentro de imágenes aparentemente inocuas. Esta técnica les permite evitar los mecanismos de detección de software antivirus, lo que aumenta la probabilidad de una infección exitosa.
La etapa final del ataque implica el despliegue de varias variantes de malware, que incluyen:
- Purehvnc: Esta herramienta otorga a los atacantes el acceso de escritorio remoto oculto al sistema comprometido, lo que les permite realizar acciones no autorizadas sin el conocimiento del usuario.
- DCRAT (rata DarkCrystal): Una herramienta de acceso remoto multifuncional utilizada para espionaje y exfiltración de datos. Esta rata permite a los atacantes robar información confidencial y monitorear la actividad del usuario.
- Rata Babilonia: Esta rata proporciona a los atacantes un control completo sobre el dispositivo infectado, lo que les permite ejecutar comandos, acceder a archivos y realizar otras actividades maliciosas.
Los investigadores de Fortinet han observado que los atacantes utilizan varios métodos para ocultar su código malicioso. Estos incluyen la ofuscación de cadenas, la modificación de la configuración del registro de persistencia y la ejecución del código en memoria para minimizar la huella en el disco y evadir la detección.
La campaña de phishing ha estado activa desde principios de agosto de 2025 y exhibe un alcance global. Se han observado altos volúmenes de actividad en Austria, Bielorrusia, Canadá, Egipto, India y Pakistán. Los sectores más afectados por esta campaña incluyen fabricación, tecnología, atención médica, construcción y venta minorista/hospitalidad. Los datos sugieren la rápida proliferación de esta amenaza, con detecciones que se duplicaron dentro de un período de dos semanas.
Este ataque está diseñado para la persistencia a largo plazo, que ofrece una cadena de malware que permanece oculta dentro de los sistemas corporativos. Fortinet aconseja: «Los usuarios y organizaciones deben tomar esta amenaza en serio, usar filtros de correo electrónico fuertes y asegurarse de que el personal esté capacitado para reconocer y evitar este tipo de ataques».
