Investigadores en ciberseguridad han descubierto una operación de phishing a gran escala que utiliza correos electrónicos altamente personalizados y sitios web falsos para engañar a las víctimas y que descarguen archivos maliciosos.

Según un reciente aviso de FortiGuard Labs, los atacantes emplean un cargador personalizado llamado UpCrypter para distribuir diversas herramientas de acceso remoto (RATs), permitiéndoles mantener control persistente sobre los sistemas comprometidos.

Cómo se desarrolla el ataque

La campaña generalmente comienza con correos electrónicos de phishing que contienen archivos adjuntos HTML. Al abrirse, estos archivos redirigen a las víctimas hacia sitios fraudulentos diseñados para parecer legítimos. Para aumentar la credibilidad, los sitios pueden incluir la dirección de correo electrónico del destinatario y, en algunos casos, el logotipo de la empresa de la víctima.

Se han observado distintos tipos de señuelos:

• Estafas de correo de voz – Emails que informan que el usuario perdió una llamada, con un archivo HTML que redirige silenciosamente el navegador hacia un sitio de phishing.
• Fraudes de órdenes de compra – Solicitudes de compra falsificadas en chino, con un adjunto que genera una URL maliciosa y dirige a la víctima a una página falsa.

Una vez redirigidos, los usuarios son incentivados a descargar un archivo ZIP que contiene un archivo JavaScript ofuscado. Este script ejecuta comandos PowerShell, evade mecanismos de detección y descarga cargas útiles adicionales desde servidores controlados por los atacantes.

En algunas variantes, se utiliza esteganografía, ocultando datos dentro de imágenes para evadir los escaneos de seguridad.

UpCrypter como núcleo de distribución

El centro de esta campaña es UpCrypter, un cargador mantenido por su desarrollador y presentado incluso en YouTube. Antes de ejecutarse, UpCrypter verifica la presencia de herramientas forenses, máquinas virtuales o entornos de sandbox.

• Si detecta análisis en curso, provoca un reinicio del sistema para interrumpir la investigación.
• Una vez validado, descarga y ejecuta componentes adicionales en memoria y establece persistencia mediante modificaciones en el registro.

Las cargas útiles finales identificadas incluyen PureHVNC, DCRat y Babylon RAT, que permiten a los atacantes realizar keylogging, robo de credenciales, exfiltración de archivos y control remoto completo de los sistemas infectados.

Expansión rápida a nivel global

FortiGuard Labs reportó que las detecciones de esta campaña se duplicaron en solo dos semanas, evidenciando su rápida propagación. Las industrias más afectadas incluyen manufactura, tecnología, salud, construcción y retail/hospitalidad.

A diferencia de los esquemas tradicionales de phishing que buscan robar credenciales, esta campaña demuestra una cadena de intrusión multi-etapa diseñada para instalar malware sofisticado dentro de entornos corporativos.

Recomendaciones de mitigación

Los investigadores enfatizan que las organizaciones deben tomar esta amenaza en serio mediante:

• Filtros de correo electrónico robustos
• Monitoreo de red para el uso indebido de PowerShell
• Capacitación al personal para reconocer y evitar intentos de phishing

Como concluyó Fortinet:

“Esta no es una campaña simple de robo de credenciales, sino un ataque complejo que entrega malware avanzado. Las organizaciones deben adoptar defensas en capas para minimizar riesgos.”

Fuente: https://www.infosecurity-magazine.com/news/phishing-upcrypter-deploy-rat