Los investigadores de ciberseguridad están marcando nuevas campañas de phishing utilizando correo de voz falso y órdenes de compra para entregar cargadores de malware llamados UpCrypers.
La campaña «crea correos electrónicos cuidadosamente diseñados para entregar URL maliciosas vinculadas a páginas de phishing persuasivas», dijo Cara Lin, investigadora de Fortinet Fortiguard Labs. «Estas páginas están diseñadas para tentarlo a descargar archivos JavaScript donde el destinatario actúa como un gotero para Upcrypter».
Los ataques de propagación de malware se han dirigido principalmente a los sectores de fabricación, tecnología, atención médica, construcción y minorista/hospitalidad en todo el mundo desde su inicio en agosto de 2025. La mayoría de las infecciones se han observado en Austria, Bielorrusia, Canadá, Egipto, India, Pakistán y otros.
Upcrypter sirve como conducto para una variedad de herramientas de acceso remoto (ratas), incluidas ratas PureHVNC, DCRAT (también conocido como rata Darkcrystal) y ratas Babilonia.
El punto de partida para la cadena de infección son los correos electrónicos de phishing utilizando mensajes de correo de voz y temas relacionados con las compras. Haga clic en el enlace donde el destinatario enfrenta una página de destino falso directamente y luego haga clic en el enlace donde se les pide que descargue el mensaje de voz o el documento PDF.
«La página de señuelo está diseñada para parecer convincente no solo mostrando la cadena de dominio de la víctima en el banner, sino también al recuperar e incrustar el logotipo del dominio dentro del contenido de la página para mejorar la confiabilidad», dice Fortinet. «Su objetivo principal es proporcionar descargas maliciosas».
La carga útil descargada es un archivo zip que contiene archivos JavaScript ofuscados, luego contactando a un servidor externo para obtener la siguiente etapa de malware, pero verifica su conexión a Internet y escaneando el proceso de ejecutar sus herramientas forenses, depuradores o entorno de caja de arena.
El cargador contacta al mismo servidor para obtener la carga útil final, ya sea en forma de texto plano o en una técnica llamada esteganografía integrada en imágenes de aspecto inofensivo.
Fortinet dijo que Upcrypter también se está distribuyendo como un cargador de lenguaje intermedio de Microsoft (MSIL). Realiza verificaciones de máquinas anti-análisis y prevención, similares a la contraparte de JavaScript, luego descarga tres cargas útiles diferentes.
El ataque incrusta los datos del cargador DLL e incrusta la carga útil mientras se ejecuta, lo que permite que el malware se ejecute sin escribir en el sistema de archivos. Este enfoque también tiene la ventaja de minimizar las huellas forenses, lo que permite que el malware vuele debajo del radar.
«Esta combinación de cargadores mantenidos agresivamente, ofuscación en capas y entrega diversa de ratas demuestra un ecosistema de entrega de amenazas adaptativas que puede evitar las defensas y mantener la sostenibilidad en una variedad de entornos», dijo Lynn.
Esta divulgación se produce cuando detallamos una campaña de phishing a gran escala que ha abusado de Google Classroom para distribuir más de 115,000 correos electrónicos de phishing entre el 6 y el 12 de agosto, 2025, apuntando a 13,500 organizaciones en múltiples industrias.
«Los atacantes usaron mal esta confianza al enviar invitaciones falsas que contienen ofertas comerciales no relacionadas, que van desde lanzamientos de reventa de productos hasta servicios de SEO», dijo la compañía. «Cada correo electrónico instruyó a los destinatarios de contactar a los estafadores a través de números de teléfono de WhatsApp, una táctica que a menudo está vinculada a los esquemas de estafa».
Los ataques evitan el sistema de seguridad. Esto le ayuda a evitar los protocolos clave de autenticación de correo electrónico como SPF, DKIM, DMARC y colocar correos electrónicos de phishing en la bandeja de entrada de su usuario al aprovechar la confianza y la reputación de la infraestructura de Google Classroom.
Estas campañas son parte de una tendencia importante en la que los actores de amenaza usan servicios legítimos como Microsoft 365 Direct Send y OneNote. Enlaces para constructores de sitios web con abuso de inteligencia artificial gratuita (AI) como Virgio y Flazio, Discord CDN, SendGrid, Zoom, ClickFunnels, Jotform, X (
«Después de que los actores de amenaza adquirieron la calificación M365 para un usuario en su organización a través de un ataque de phishing, crearon un archivo OneNote en la carpeta de documentos personales del usuario comprometido en OneDrive e incrustaron la URL de los señores para la próxima etapa de phishing».
El mal uso del envío directo ha alentado a las organizaciones llamadas «rechazar el envío directo» para introducir opciones para abordar los problemas directamente. Alternativamente, los clientes pueden aplicar políticas de estampado de encabezado y cuarentena personalizados para detectar correos electrónicos que dicen que son comunicación interna, pero en realidad no lo son.
Estos desarrollos involucran a los atacantes que dependen cada vez más de las técnicas de evasión del lado del cliente para que las páginas de phishing se mantengan a la vanguardia de los sistemas de detección de auto y analistas humanos. Esto incluye el bloqueo basado en JavaScript, el uso del navegador en las plantillas de navegador (BITB) y alojamiento de páginas en un entorno de escritorio virtual utilizando NovNC.
«Una forma notable de volverse más popular es el uso de scripts antianálisis basados en JavaScript: pequeños pero efectivos bits de código integrados en páginas de phishing, sitios de soporte técnico falso y redirecciones maliciosas», dijo Doppel. «Cuando se identifica dicha actividad, el sitio redirigirá inmediatamente a los usuarios a páginas en blanco o deshabilitará más interacciones, bloqueando el acceso antes de que ocurran inspecciones más profundas».
Source link
