От JavaScript до стеганографии в одной атаке. Киберпреступники создали «невидимую» систему доставки вредоносного ПО

leer en español

UpCrypter Fortinet Google Classroom Check Point RAT фишинг вредоносное ПО
От JavaScript до стеганографии в одной атаке. Киберпреступники создали «невидимую» систему доставки вредоносного ПО
UpCrypter Fortinet Google Classroom Check Point RAT фишинг вредоносное ПО

Доверие к знакомым брендам стало ключом от чужих систем безопасности.

image

В начале августа 2025 года специалисты Fortinet FortiGuard Labs зафиксировали масштабную фишинговую кампанию, которая распространяет загрузчик UpCrypter через поддельные письма о голосовых сообщениях и заказах. Злоумышленники используют тщательно подготовленные электронные письма с вредоносными ссылками, ведущими на поддельные сайты, маскирующиеся под легитимные страницы компаний. На таких ресурсах пользователям предлагают скачать якобы важный файл — голосовое сообщение или документ в формате PDF, — который на самом деле содержит вредоносный код.

Основная цель атаки — установка загрузчика UpCrypter, который служит проводником для удалённых инструментов управления, включая PureHVNC RAT, DCRat (DarkCrystal RAT) и Babylon RAT. После заражения системы атакующие получают возможность полностью контролировать устройство жертвы.

Сценарий атаки начинается с письма, которое побуждает перейти по ссылке на поддельную страницу. Чтобы повысить доверие, сайт автоматически вставляет в заголовок домен жертвы и подгружает логотип её организации, создавая иллюзию подлинности. Затем с ресурса скачивается ZIP-архив, содержащий зашифрованный JavaScript-файл.

После запуска скрипт проверяет наличие интернет-соединения, а также анализирует процессы на устройстве, выявляя инструменты отладки, песочницы и средства цифровой криминалистики. Лишь после этого происходит обращение к внешнему серверу за следующим этапом вредоносного ПО.

Загрузчик может получать финальный модуль либо в виде открытого текста, либо скрытым внутри изображения с использованием стеганографии . Помимо JavaScript-варианта, специалисты обнаружили и другую сборку UpCrypter, написанную на MSIL. Она действует аналогично, но после проверки окружения дополнительно загружает три отдельных элемента: зашифрованный PowerShell-скрипт, DLL-библиотеку и основной исполняемый модуль. Все они объединяются во время выполнения, что позволяет запускать вредоносный код без записи его на диск и минимизировать следы на устройстве.

Fortinet отмечает, что подобная архитектура делает кампанию особенно сложной для обнаружения. Использование активной поддержки загрузчика, многоуровневой маскировки и нескольких инструментов удалённого доступа создаёт гибкую экосистему доставки, способную обходить средства защиты и сохранять устойчивость в различных средах.

Эта кампания показывает, что даже самые привычные каналы коммуникации превращаются в удобный инструмент для распространения сложных угроз, и защита сегодня требует не только технических барьеров, но и постоянной настороженности к каждому письму.