Una campaña de phishing generalizada que aprovecha el malware Upcrypter está dirigido a los usuarios de Windows a nivel mundial, con el objetivo de establecer el acceso remoto a largo plazo a los sistemas comprometidos. Investigadores de ciberseguridad en Fortinet’s Fortiguard Labs han estado rastreando el aumento en estos ataques desde principios de agosto de 2025.
El vector de ataque implica correos electrónicos de phishing disfrazados de correo de voz perdidos o órdenes de compra. Estos correos electrónicos redirigen a las víctimas a convencer a los sitios web falsos que los solicitan a descargar un archivo zip. Este archivo zip contiene un gotero de JavaScript muy ofuscado.
Según Cara Lin, una investigadora de Fortinet Fortiguard Labs, estas páginas maliciosas están diseñadas para atraer a los destinatarios a descargar archivos JavaScript aparentemente inofensivos. Una vez ejecutado, el JavaScript desencadena los comandos de PowerShell en segundo plano, estableciendo una conexión con los servidores controlados por el atacante para descargar la siguiente etapa del malware.
El cargador UPCRYPTER luego escanea el sistema comprometido para entornos de sandbox o herramientas forenses. Si se detecta, Upcrypter forzará un reinicio a interrumpir el análisis. Si no hay tales obstáculos presentes, UpcryPter descarga y ejecuta más cargas útiles, a veces ocultando estos archivos dentro de las imágenes que usan esteganografía para evadir la detección de antivirus.
La etapa final del ataque implica la implementación de herramientas de acceso remoto (ratas), incluidos PureHVNC, DCRAT (rata DarkCrystal) y Babilonia RAT. PureHVNC permite el acceso de escritorio remoto oculto, mientras que DCRAT proporciona una herramienta multifunción para espiar y robo de datos. Babylon Rat permite a los atacantes obtener un control completo sobre el dispositivo infectado.
Los investigadores de Fortinet han observado que los atacantes emplean varias técnicas para ocultar su código malicioso. Estos incluyen la ofuscación de cadenas, la modificación de la configuración del registro de persistencia y la ejecución del código en memoria para minimizar las trazas en el disco.
La campaña de phishing ha demostrado un alcance internacional, con una actividad significativa detectada en Austria, Bielorrusia, Canadá, Egipto, India y Pakistán. Los sectores más dirigidos incluyen fabricación, tecnología, atención médica, construcción y venta minorista/hospitalidad. Las detecciones del malware Upcrypter se han duplicado en solo dos semanas, destacando la rápida expansión de esta campaña.
Este ataque no se trata simplemente de robar credenciales; Su objetivo es implementar una cadena de malware diseñada para permanecer oculta dentro de los sistemas corporativos durante un período prolongado, otorgando a los atacantes acceso persistente. Fortinet aconseja a los usuarios y organizaciones que tomen esta amenaza en serio mediante la implementación de filtros de correo electrónico fuertes y brindando capacitación al personal para reconocer y evitar este tipo de ataques de phishing.
Source: Fortinet advierte sobre la campaña de phishing de malware de Upcrypter
